Présentation de Software Delivery Shield

Software Delivery Shield est une solution de sécurité sur la chaîne d'approvisionnement logicielle de bout en bout entièrement gérée. Elle fournit un ensemble complet et modulaire de fonctionnalités et d'outils pour l'ensemble des produits Google Cloud, que les développeurs, le DevOps et les équipes de sécurité peuvent utiliser pour améliorer la stratégie de sécurité de la chaîne d'approvisionnement logicielle.

Software Delivery Shield comprend:

• Produits et fonctionnalités Google Cloud qui intègrent les bonnes pratiques de sécurité pour le développement, la compilation, le test, l'analyse, le déploiement et l'application des règles.
• Tableaux de bord de la console Google Cloud présentant des informations de sécurité sur la source, les builds, les artefacts, les déploiements et l'environnement d'exécution Ces informations incluent les failles dans les artefacts de compilation, la provenance de la compilation et la liste de dépendances de la nomenclature logicielle (SBOM).
• Informations permettant d'identifier le niveau de maturité de la sécurité de votre chaîne d'approvisionnement logicielle à l'aide du framework SLSA (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels).

Composants de Software Delivery Shield

Le schéma suivant montre comment les différents services de Software Delivery Shield interagissent pour protéger votre chaîne d'approvisionnement logicielle:

Les sections suivantes décrivent les produits et les fonctionnalités qui font partie de la solution Software Delivery Shield:

Composants aidant à sécuriser le développement

Les composants suivants de Software Delivery Shield contribuent à protéger le code source du logiciel:

• Cloud Workstations

  Cloud Workstations fournit des environnements de développement entièrement gérés sur Google Cloud. Elle permet aux administrateurs informatiques et de sécurité de provisionner, faire évoluer, gérer et sécuriser leurs environnements de développement, et aux développeurs d'accéder à ces environnements avec des configurations cohérentes et des outils personnalisables.

  Cloud Workstations aide à déplacer la sécurité vers l'amont en renforçant la stratégie de sécurité de vos environnements de développement d'applications. Il dispose de fonctionnalités de sécurité telles que VPC Service Controls, l'entrée ou la sortie privées, la mise à jour forcée des images, et les règles d'accès Identity and Access Management. Pour en savoir plus, consultez la documentation de Cloud Workstations.

• Cloud Code Source Protect (preview)

  Cloud Code prend en charge l'IDE pour créer, déployer et intégrer des applications avec Google Cloud. Elle permet aux développeurs de créer et de personnaliser une application à partir d'exemples de modèles, puis d'exécuter l'application terminée. Cloud Code Source Protect fournit aux développeurs des commentaires sur la sécurité en temps réel, tels que l'identification des dépendances vulnérables et la création de rapports de licence, lorsqu'ils travaillent dans leurs IDE. Elle fournit des commentaires rapides et exploitables qui permettent aux développeurs de corriger leur code au début du processus de développement logiciel.

  Disponibilité des fonctionnalités: la source protect de Cloud Code n'est pas accessible au public. Pour accéder à cette fonctionnalité, consultez la page de demande d'accès.

Composants permettant de sécuriser l'approvisionnement logicielle

La sécurisation de l'approvisionnement logicielle (artefacts de compilation et dépendances d'applications) est une étape essentielle pour améliorer la sécurité de la chaîne d'approvisionnement logicielle. L'utilisation généralisée des logiciels Open Source rend ce problème particulièrement difficile.

Les composants suivants de Software Delivery Shield aident à protéger les artefacts de compilation et les dépendances des applications:

• Assured OSS

  Le service Assured OSS vous permet d'accéder aux packages OSS qui ont été validés et testés par Google et de les intégrer. Elle fournit des packages Java et Python créés à l'aide des pipelines sécurisés de Google. Ces packages sont régulièrement analysés, analysés et testés pour détecter les failles. Pour en savoir plus, consultez la documentation sur Assured Open Source Software.

• Artifact Registry et Artifact Analysis

  Artifact Registry vous permet de stocker, de sécuriser et de gérer vos artefacts de compilation, et Artifact Analysis détecte de manière proactive les failles pour les artefacts dans Artifact Registry. Artifact Registry fournit les fonctionnalités suivantes pour améliorer la sécurité de votre chaîne d'approvisionnement logicielle:

  • Artifact Analysis propose une analyse intégrée à la demande ou automatisée pour les images de conteneurs de base et les packages de langages dans des conteneurs.
  • Artifact Analysis vous permet de générer une nomenclature logicielle (SBOM) et d'importer des instructions Vulnerability Exploitability eXchange (VEX) pour les images dans Artifact Registry.
  • Artifact Analysis fournit une analyse autonome qui identifie les failles existantes et nouvelles failles dans les dépendances Open Source utilisées par vos artefacts Maven (preview). L'analyse a lieu chaque fois que vous transférez un projet Java vers Artifact Registry. Après l'analyse initiale, Artifact Analysis surveille en permanence les métadonnées des images analysées dans Artifact Registry afin de détecter de nouvelles failles.
  • Artifact Registry est compatible avec les dépôts distants (preview) et les dépôts virtuels (Preview) pour les packages Java. Un dépôt distant agit comme un proxy de mise en cache pour les dépendances de Maven Central, ce qui réduit le temps de téléchargement, améliore la disponibilité des packages et inclut une analyse des failles si l'analyse est activée. Les dépôts virtuels regroupent les dépôts de même format derrière un seul point de terminaison et vous permettent de contrôler l'ordre de recherche dans les dépôts en amont. Vous pouvez donner la priorité à vos packages privés, ce qui réduit le risque d'attaques de confusion par dépendance.

Composants aidant à protéger le pipeline CI/CD

Des acteurs malintentionnés peuvent attaquer les chaînes d'approvisionnement logicielles en compromettant les pipelines CI/CD. Les composants suivants de Software Delivery Shield aident à protéger le pipeline CI/CD:

• Cloud Build

  Cloud Build exécute vos compilations sur l'infrastructure Google Cloud. Il offre des fonctionnalités de sécurité telles que des autorisations IAM précises, VPC Service Controls, ainsi que des environnements de compilation isolés et éphémères. De plus, il offre les fonctionnalités suivantes pour améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle:

  • Il est compatible avec les builds SLSA de niveau 3 pour les images de conteneurs.
  • Il génère une origine de compilation authentifiée et non falsifiable pour les applications conteneurisées.
  • Il affiche des insights sur la sécurité pour les applications créées. Par exemple :
    • Le niveau de compilation SLSA, qui identifie le niveau de maturité de votre processus de compilation logiciel conformément à la spécification SLSA.
    • Failles dans les artefacts de compilation.
    • La provenance de la compilation, qui est une collection de métadonnées vérifiables concernant une compilation Il inclut des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de compilation.

  Pour savoir comment afficher les insights sur la sécurité des applications créées, consultez Créer une application et afficher des insights sur la sécurité.

• Cloud Deploy

  Cloud Deploy automatise la diffusion de vos applications vers une série d'environnements cibles dans une séquence définie. Ce service permet la livraison continue directement dans Google Kubernetes Engine, GKE Enterprise et Cloud Run, avec des approbations et des rollbacks en un clic, des mécanismes de sécurité et d'audit d'entreprise, ainsi que des métriques de livraison intégrées. De plus, il présente des insights sur la sécurité pour les applications déployées.

Composants aidant à protéger les applications en production

GKE et Cloud Run contribuent à sécuriser la stratégie de sécurité de vos environnements d'exécution. Tous deux sont dotés de fonctionnalités de sécurité permettant de protéger vos applications au moment de l'exécution.

• GKE

  GKE peut évaluer la stratégie de sécurité de vos conteneurs et vous fournir des conseils actifs sur les paramètres de cluster, la configuration des charges de travail et les failles. Il comprend le tableau de bord de stratégie de sécurité, qui analyse vos clusters et vos charges de travail GKE, et vous fournit des recommandations avisées et exploitables pour améliorer votre stratégie de sécurité. Pour savoir comment afficher les insights de sécurité dans le tableau de bord de la stratégie de sécurité GKE, consultez la page Déployer sur GKE et afficher les insights sur la sécurité.

• Cloud Run

  Cloud Run contient un panneau de sécurité qui affiche des insights sur la sécurité de la chaîne d'approvisionnement logicielle, tels que des informations sur la conformité au niveau de la compilation SLSA, la provenance de la compilation et les failles détectées dans les services en cours d'exécution. Pour savoir comment afficher les insights sur la sécurité dans le panneau d'insights sur la sécurité de Cloud Run, consultez la page Déployer sur Cloud Run et afficher les insights sur la sécurité.

Créez une chaîne de confiance à l'aide de règles

L'autorisation binaire permet d'établir, de gérer et de vérifier une chaîne de confiance tout au long de votre chaîne d'approvisionnement logicielle en collectant des attestations, qui sont des documents numériques qui certifient des images. Une attestation signifie que l'image associée a été créée en exécutant avec succès un processus spécifique et requis. Sur la base des attestations collectées, l'autorisation binaire permet de définir, de valider et d'appliquer des stratégies basées sur la confiance. Il garantit que l'image n'est déployée que lorsque les attestations respectent les règles de votre organisation. Vous pouvez également le configurer pour vous avertir en cas de non-respect des règles. Par exemple, les attestations peuvent indiquer qu'une image:

• Conçu par Cloud Build.
• Ne contient pas de failles au-delà d'un niveau de gravité spécifié. Si des failles spécifiques ne s'appliquent pas à vos applications, vous pouvez les ajouter à une liste d'autorisation.

Vous pouvez utiliser l'autorisation binaire avec GKE et Cloud Run.

Tarification

La liste suivante renvoie aux informations tarifaires des services inclus dans la solution Software Delivery Shield:

• Cloud Workstations
• Cloud Code: disponible pour tous les clients Google Cloud sans frais.
• Assured OSS: contactez l'équipe commerciale pour obtenir des informations sur les tarifs.
• Artifact Registry
• Artifact Analysis
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Autorisation binaire

Étapes suivantes

• Découvrez comment créer des applications et consulter des insights sur la sécurité.
• Découvrez comment déployer sur Cloud Run et afficher des insights de sécurité.
• Découvrez comment déployer sur GKE et afficher des insights sur la sécurité.