O Software Delivery Shield é um fornecedor de software de ponta a ponta totalmente gerenciado solução de segurança de cadeia de suprimentos. Ele oferece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e que as equipes de segurança possam usar para melhorar a postura de segurança do fornecimento de software corrente
O Software Delivery Shield consiste em:
- Produtos e recursos do Google Cloud que incorporam as práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
- Painéis no console do Google Cloud que mostram informações de segurança sobre fontes, builds, artefatos, implantações e execução. Essas informações incluem vulnerabilidades em artefatos, procedências e Lista de materiais do software (SBOM, na sigla em inglês) lista de dependências.
- Informações que identificam o nível de maturidade da cadeia de suprimentos de software de segurança usando o Framework de níveis da cadeia de suprimentos para artefatos de software (SLSA).
Componentes do Software Delivery Shield
O diagrama a seguir ilustra como os diferentes serviços O Software Delivery Shield trabalha em conjunto para proteger sua cadeia de suprimentos de software:
As seções a seguir explicam os produtos e recursos que fazem parte do Solução Software Delivery Shield:
Componentes que ajudam a proteger o desenvolvimento
Os seguintes componentes do Software Delivery Shield ajudam a proteger a origem do software código:
Cloud Workstations
O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados em Google Cloud. Ele permite que os administradores de TI e segurança provisionem, escalonem gerenciar e proteger os ambientes de desenvolvimento e permite que os desenvolvedores acessar ambientes de desenvolvimento com configurações e e personalizáveis.
O Cloud Workstations ajuda a mudar a segurança para a esquerda ao melhorar a postura de segurança de seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como o VPC Service Controls, entrada ou saída particulares, atualização de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a Documentação do Cloud Workstations.
Proteção source protect Cloud Code (pré-lançamento)
O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos ao Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo a partir de modelos de amostra e executem o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de usuários dependências e relatórios de licença, já que funcionam nos ambientes de desenvolvimento integrado. Oferece feedback rápido e acionável que permite que os desenvolvedores façam correções nos o código no início do processo de desenvolvimento de software.
Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.
Componentes que ajudam a proteger o fornecimento de software
Proteger o fornecimento de software (artefatos de compilação e dependências de aplicativos) é uma etapa crítica para melhorar a segurança da cadeia de suprimentos de software. A difusão de software de código aberto torna esse problema particularmente desafiador.
Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e dependências do aplicativo:
Assured OSS (em inglês)
Com o serviço Assured OSS, você pode acessar e incorporar o OSS que foram verificados e testados pelo Google. Ele oferece Java e Pacotes Python que são criados usando pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais mais informações, consulte a Documentação do Software de código aberto garantido.
Artifact Registry e Artifact Analysis
O Artifact Registry permite armazenar, proteger e gerenciar seus artefatos de build. Além disso, a Análise de artefatos detecta proativamente as vulnerabilidades deles no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a segurança da cadeia de suprimentos de software:
- O Artifact Analysis oferece integração sob demanda ou verificação automática para imagens de contêiner de base e pacotes de linguagem em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM) e faça o upload Declarações sobre vulnerabilidade, exploração e troca (VEX, na sigla em inglês) para as imagens no Artifact Registry.
- O Artifact Analysis fornece verificações independentes que identifica vulnerabilidades atuais e novas dentro da dependências de origem usadas pelos artefatos do Maven (pré-lançamento). A verificação ocorre toda vez que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry oferece suporte repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de fontes externas predefinidas, como Docker Hub, Maven Central, o índice de pacotes Python (PyPI), Debian ou CentOS bem como fontes definidas pelo usuário para formatos compatíveis. O armazenamento em cache de artefatos em repositórios remotos reduz o tempo de download, melhora a disponibilidade do pacote e inclui a verificação de vulnerabilidades, se ela estiver ativada. Os repositórios virtuais consolidam repositórios dos mesmos em um só endpoint e permitem controlar a ordem das pesquisas em repositórios upstream. É possível priorizar seus pacotes privados, o que reduz o risco de ataques de confusão de dependência.
Componentes que ajudam a proteger o pipeline de CI/CD
Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo a CI/CD pipelines de dados. Os seguintes componentes do Software Delivery Shield ajudam a proteger os Pipeline de CI/CD:
Cloud Build
O Cloud Build executa seus builds no Google Cloud. do Google Cloud. Ele oferece recursos de segurança como Permissões do IAM, VPC Service Controls e opções de de build temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele oferece suporte Builds do SLSA nível 3 para imagens de contêiner.
- Ele gera informações procedência do build para aplicativos conteinerizados.
- Ela mostra insights de segurança.
para aplicativos criados. Isso inclui o seguinte:
- o nível de build do SLSA, que identifica o nível de maturidade do software processo de build de acordo com a Especificação SLSA.
- Vulnerabilidades em artefatos de build.
- Procedência do build, que é uma coleção de metadados verificáveis sobre um build. Ele inclui detalhes como os resumos das imagens construídas, o locais de origem de entrada, o conjunto de ferramentas, as etapas e a duração da compilação.
Para instruções sobre como visualizar insights de segurança para aplicativos criados, consulte Crie um aplicativo e acesse insights de segurança.
Cloud Deploy
O Cloud Deploy automatiza a entrega de aplicativos para uma série de ambientes de destino em uma sequência definida. Ela oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e Cloud Run, com aprovações e reversões em um clique, Enterprise segurança e auditoria, além de métricas de entrega integradas. Além disso, ele exibe insights de segurança para aplicativos implantados.
Componentes que ajudam a proteger aplicativos em produção
GKE e o Cloud Run ajuda a proteger a postura de segurança de seus ambientes de execução. Ambas vêm com recursos de segurança para proteger seus aplicativos no ambiente de execução.
GKE
O GKE pode avaliar a postura de segurança do contêiner e dar orientações ativas sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica clusters e cargas de trabalho do GKE para que você tenha informações as recomendações práticas para melhorar sua postura de segurança. Para instruções sobre como acessar insights de segurança na postura de segurança do GKE painel, consulte Faça a implantação no GKE e confira os insights de segurança.
Cloud Run
O Cloud Run tem um painel de segurança que exibe dados insights sobre a segurança da cadeia de suprimentos, como informações de conformidade no nível da versão do SLSA, procedência do build e vulnerabilidades encontradas nos serviços em execução. Para sobre como acessar os insights de segurança no Cloud Run de insights, consulte Fazer a implantação no Cloud Run e visualizar insights de segurança.
Crie uma cadeia de confiança usando políticas
A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança sua cadeia de suprimentos de software coletando atestados, que são digitais que certificam as imagens. Um atestado significa que o serviço imagem foi criada executando com sucesso um processo específico e obrigatório. Com base nesses atestados coletados, a Autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada apenas quando os atestados atendem à política da sua organização e também podem ser definidos como alertar você caso sejam encontradas violações de políticas. Por exemplo, atestados podem indicam que a imagem:
- Criado pelo Cloud Build.
- Não contém vulnerabilidades maiores do que a gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, poderá adicioná-los a uma lista de permissões.
É possível usar a autorização binária com o GKE e o Cloud Run.
Preços
A lista a seguir aponta as informações sobre os preços dos serviços na Solução Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponível para todos os clientes do Google Cloud carga.
- Assured OSS: entre em contato com a equipe de vendas para saber os preços informações imprecisas ou inadequadas.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorização binária
A seguir
- Saiba como criar aplicativos e acessar insights de segurança.
- Saiba como implantar no Cloud Run e visualizar insights de segurança.
- Saiba como implantar no GKE e visualizar insights de segurança.