GSP112

Présentation

Web Security Scanner, un des services intégrés de Security Command Center, identifie les failles de sécurité de vos applications Web Google App Engine, Google Kubernetes Engine (GKE) et Compute Engine. Il explore votre application et tous les liens associés à vos URL de démarrage, et essaie de tester un maximum d'entrées utilisateur et de gestionnaires d'événements.

Cloud Security Scanner est conçu pour compléter vos processus sécurisés de conception et développement. Afin de ne pas détourner l'attention des développeurs avec de faux positifs, le système d'analyse limite volontairement les rapports en choisissant de ne pas afficher les alertes ayant un faible niveau de confiance. Il ne remplace pas un contrôle de sécurité manuel et ne garantit pas l'absence de failles de sécurité dans votre application.

Points abordés

Dans cet atelier, vous allez apprendre à :

• exécuter une analyse avec Web Security Scanner.

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

2. Passez les fenêtres suivantes :

   • Accédez à la fenêtre d'informations de Cloud Shell.
   • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

3. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

4. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Avant de commencer, vous avez besoin d'une application à analyser

Dans cet atelier, vous allez déployer une application Hello World pour y exécuter Security Scanner.

1. Exécutez la commande suivante dans Cloud Shell pour cloner le dépôt de l'application exemple Hello World :

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

2. Accédez au répertoire qui contient l'exemple de code :

cd python-docs-samples/appengine/standard_python3/hello_world

3. Modifiez la version de Python à l'aide de la commande sed.

sed -i "s/python37/python39/g" app.yaml

4. Exécutez la commande ci-dessous et ajoutez itsdangerous==2.0.1, Jinja2==3.0.3 et werkzeug==2.0.1 dans le fichier requirements.txt :

nano requirements.txt

Ainsi, le fichier ressemble à l'exemple suivant :

Flask==1.1.2 itsdangerous==2.0.1 Jinja2==3.0.3 werkzeug==2.0.1

5. Enregistrez le fichier (appuyez sur CTRL+O, puis sur Entrée) et quittez nano (appuyez sur CTRL+X).

Remarque : Le package itsdangerous==2.0.1 est ajouté au fichier requirements.txt pour transférer les données vers des environnements non approuvés et les récupérer de façon sécurisée.

Tâche 2 : Tester l'application

1. Installez l'environnement Python requis.

sudo apt update sudo apt install python3-venv -y python3 -m venv create myvenv source myvenv/bin/activate

2. Dans le répertoire hello_world qui contient le fichier de configuration app.yaml de l'application, démarrez le serveur de développement local en exécutant cette commande :

flask --app main run

3. Cliquez sur l'icône Aperçu sur le Web dans la barre d'outils de Cloud Shell.

4. Cliquez sur Modifier le port.

5. Remplacez le numéro de port par 5000 et cliquez sur Modifier et prévisualiser.

Remarque : Si vous ne voyez pas l'icône Aperçu sur le Web, fermez le menu de navigation en haut à gauche.

6. Appuyez sur CTRL+C pour arrêter l'application locale et revenir à la ligne de commande.

Tâche 3 : Déployer l'application

Pour cet atelier, utilisez comme région App Engine.

1. Pour déployer votre application dans App Engine, exécutez la commande suivante depuis le répertoire racine de votre application (hello_world) :

gcloud app create gcloud app deploy

2. Un message vous invite à sélectionner une région. Choisissez le nombre correspondant à celle située à proximité de vous.

3. Une fois votre application créée, un message vous demande si vous souhaitez poursuivre. Tapez Y pour continuer.

Le déploiement de votre application commence.

Remarque : Si l'exécution de la commande entraîne une erreur de dépassement de délai, exécutez-la de nouveau.

Tâche 4 : Voir l'application

• Pour lancer l'application dans votre navigateur, exécutez la commande suivante :

gcloud app browse

Vous pouvez également utiliser un lien dans Cloud Shell ou afficher l'application sur http://[YOUR_PROJECT_ID].uc.r.appspot.com. Il s'agit de l'URL que vous allez analyser et qui sera ajoutée dans vos paramètres à la prochaine étape.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si votre tâche a bien été exécutée, vous recevez une note d'évaluation.

Déployez un exemple d'application App Engine.

Tâche 5 : Exécuter l'analyse

Cette analyse ne s'exécute pas immédiatement, mais elle est mise en attente et sera traitée par la suite. Plusieurs heures peuvent s'écouler avant le lancement de l'analyse en fonction de la charge actuelle. Pour plus d'informations sur ces paramètres de formulaire, consultez Utiliser Web Security Scanner.

1. Accédez au menu de navigation > API et services > Bibliothèque.

2. Sous "Rechercher des API et des services", saisissez Web Security Scanner.

3. Sélectionnez l'API Web Security Scanner, puis cliquez sur Activer pour activer l'API.

4. Dans le menu de navigation, sélectionnez Sécurité > Web Security Scanner.

5. Cliquez sur Nouvelle analyse.

6. Sous URL de démarrage 1, saisissez l'URL de l'application à analyser.

7. Cliquez sur Enregistrer pour créer l'analyse.

8. Cliquez sur Exécuter pour démarrer l'analyse :

L'analyse est mise en file d'attente, et une barre d'état vous indique sa progression. La page de présentation de l'analyse affiche une section de résultats une fois l'analyse terminée. L'image suivante montre des exemples de résultats d'analyse lorsqu'aucune faille n'est détectée :

Remarque : L'exécution de l'analyse peut prendre quatre à cinq minutes. Essayez d'actualiser la page si les résultats n'apparaissent pas.

Bravo ! Vous venez d'effectuer une analyse avec Web Security Scanner. Un message d'avertissement vous informe qu'il n'est pas recommandé d'analyser une seule URL. Toutefois, le but de cet atelier est simplement d'illustrer la procédure. Votre environnement de production contiendra de nombreuses URL à analyser.

Tâche 6 : Tester vos connaissances

Voici une question à choix multiples qui vous aidera à assimiler les concepts abordés lors de cet atelier. Répondez-y du mieux que vous le pouvez.

Félicitations !

Dans cet atelier, vous avez appris à effectuer une analyse à l'aide de Web Security Scanner.

Étapes suivantes et informations supplémentaires

Cet atelier fait partie d'une série appelée "Qwik Starts". Les ateliers de cette série sont conçus pour vous donner un aperçu des nombreuses fonctionnalités proposées par Google Cloud. Pour suivre un autre atelier, recherchez "Qwik Starts" dans le catalogue.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 30 mai 2025

Dernier test de l'atelier : 30 mai 2025

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.