Visualizzare approfondimenti sulla sicurezza della catena di fornitura del software

Questa pagina descrive come visualizzare gli insight sulla sicurezza della catena di approvvigionamento del software per una revisione Cloud Run selezionata e fornisce brevi dettagli per aiutarti a capire cosa rivelano queste informazioni sulla posizione di sicurezza della revisione.

Per scoprire come utilizzare Cloud Run con altri Google Cloud prodotti e funzionalità per migliorare la strategia di sicurezza della tua catena di fornitura del software, consulta Sicurezza della catena di fornitura del software.

Prima di iniziare

Devi attivare l'API Container Scanning per l'analisi dei container.

Abilita l'API Container Scanning

Autorizzazioni obbligatorie

Per visualizzare gli approfondimenti sulla sicurezza, devi disporre dei seguenti ruoli:

• Visualizzatore delle occorrenze di Artifact Analysis
• Cloud Run Viewer

Visualizza insight sulla sicurezza

1. Vai a Cloud Run

2. Fai clic sul servizio che ti interessa per aprire la pagina Dettagli servizio.

3. Fai clic sulla scheda Revisioni e seleziona la revisione che ti interessa.

4. Nel riquadro dei dettagli a destra, fai clic sulla scheda Sicurezza.

5. Individua la sezione Approfondimenti sulla sicurezza. Questa sezione mostra la valutazione della vulnerabilità corrente e altri dettagli correlati per la revisione selezionata. Per ulteriori informazioni su questi dettagli, consulta la sezione Informazioni sugli insight sulla sicurezza

Informazioni sugli insight sulla sicurezza

La sezione Approfondimenti sulla sicurezza mostra le seguenti informazioni:

• Livello Supply-chain Levels for Software Artifacts (SLSA): identifica il livello di maturità del processo di compilazione del software in conformità con la specifica SLSA. Puoi trovare maggiori dettagli sul sito web di SLSA .
• Vulnerabilità: una panoramica delle eventuali vulnerabilità rilevate negli elementi e il nome dell'immagine analizzata da Artifact Analysis. Puoi fare clic sul nome dell'immagine per visualizzare i dettagli della vulnerabilità.
• Dettagli build: dettagli della build, ad esempio il generatore e il link per visualizzare i log.
• Provenienza della build: Provenienza per la build.

Passaggi successivi

• Per livelli SLSA più elevati, ti consigliamo di configurare il deployment continuo.
• Per un esempio che esegue il deployment di un servizio Cloud Run e illustra gli insight sulla sicurezza per quel servizio, consulta la guida rapida sulla sicurezza della catena di approvvigionamento del software.