Esta página foi traduzida pela API Cloud Translation.

Visão geral do Software Delivery Shield

O Software Delivery Shield é uma solução de segurança de cadeia de suprimentos de software de ponta a ponta totalmente gerenciada. Ele fornece um conjunto abrangente e modular de recursos e ferramentas do Google Cloud que desenvolvedores, DevOps e equipes de segurança podem usar para melhorar a postura de segurança da cadeia de suprimentos de software.

O Software Delivery Shield é composto por:

Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
Painéis no console do Google Cloud que mostram informações de segurança sobre origem, builds, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência do build e lista de dependências da Lista de materiais de software (SBOM, na sigla em inglês).
Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework de níveis de cadeia de suprimentos para artefatos de software (SLSA) (em inglês).

Componentes do Software Delivery Shield

O diagrama a seguir ilustra como os diferentes serviços do Software Delivery Shield trabalham juntos para proteger a cadeia de suprimentos de software:

Diagrama que mostra os componentes do Software Delivery Shield

As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:

Componentes que ajudam a proteger o desenvolvimento

Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:

Cloud Workstations

O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Com ele, os administradores de TI e segurança podem provisionar, escalonar, gerenciar e proteger os ambientes de desenvolvimento, além de permitir que os desenvolvedores acessem esses ambientes com configurações consistentes e ferramentas personalizáveis.

O Cloud Workstations ajuda a deslocar a segurança para a esquerda, melhorando a postura de segurança dos ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particular, atualização de imagem forçada e políticas de acesso do Identity and Access Management. Para mais informações, consulte a documentação do Cloud Workstations.
Proteção source protect Cloud Code (pré-lançamento)

O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos com o Google Cloud. Com ele, os desenvolvedores podem criar e personalizar um novo aplicativo usando modelos de amostra e executar o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de dependências vulneráveis e a geração de relatórios de licença, à medida que eles trabalham nos ambientes de desenvolvimento integrado. Ela fornece feedback rápido e prático para que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.

Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o fornecimento de software

Proteger o fornecimento de software (artefatos de build e dependências de aplicativos) é uma etapa crítica para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de software de código aberto torna esse problema particularmente desafiador.

Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e as dependências do aplicativo:

Assured OSS (em inglês)

O serviço Assured OSS permite acessar e incorporar os pacotes OSS que foram verificados e testados pelo Google. Ele fornece pacotes Java e Python que são criados usando os pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto Assured.
Artifact Registry e Artifact Analysis

O Artifact Registry permite armazenar, proteger e gerenciar os artefatos do build, e o Artifact Analysis detecta proativamente vulnerabilidades de artefatos no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- O Artifact Analysis fornece verificações sob demanda ou automáticas integradas para imagens de contêiner base e pacotes de idiomas em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM, na sigla em inglês) e fazer upload de instruções VEX (Vulnerability, Exploitability eXchange) para as imagens no Artifact Registry.
- O Artifact Analysis fornece verificação independente que identifica vulnerabilidades atuais e novas vulnerabilidades dentro das dependências de código aberto usadas pelos artefatos do Maven (pré-lançamento). A verificação ocorre sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry é compatível com repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de fontes externas predefinidas, como o Docker Hub, o Maven Central, o Python Package Index (PyPI), o Debian ou o CentOS, além de fontes definidas pelo usuário para formatos compatíveis. O armazenamento de artefatos em cache em repositórios remotos reduz o tempo de download, melhora a disponibilidade do pacote e inclui verificação de vulnerabilidades se a verificação estiver ativada. Os repositórios virtuais consolidam repositórios do mesmo formato em um único endpoint e permitem controlar a ordem de pesquisa em repositórios upstream. É possível priorizar seus pacotes particulares, o que reduz o risco de ataques de confusão de dependência.

Componentes que ajudam a proteger o pipeline de CI/CD

Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo os pipelines de CI/CD. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:

Cloud Build

O Cloud Build executa seus builds na infraestrutura do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de build isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele é compatível com builds do SLSA nível 3 para imagens de contêiner.
- Ele gera uma procedência de build autenticada e não falsificável para aplicativos conteinerizados.
- Ela exibe insights de segurança para aplicativos criados. Isso inclui o seguinte:
  - o nível de build do SLSA, que identifica o nível de maturidade do processo de build do software de acordo com a especificação SLSA (em inglês).
  - Vulnerabilidades em artefatos de builds.
  - Procedência do build, que é uma coleção de metadados verificáveis sobre um build. Ele inclui detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas de build, as etapas e a duração do build.
Para instruções sobre como visualizar insights de segurança para aplicativos criados, consulte Criar um aplicativo e visualizar insights de segurança.
Cloud Deploy

O Cloud Deploy automatiza a entrega dos aplicativos para uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, GKE Enterprise e Cloud Run, com aprovações e reversões com um clique, segurança e auditoria empresarial, bem como métricas de entrega integradas. Além disso, ele exibe insights de segurança para aplicativos implantados.

Componentes que ajudam a proteger aplicativos em produção

O GKE e o Cloud Run ajudam a proteger a postura de segurança dos ambientes de execução. Ambas vêm com recursos de segurança para proteger seus aplicativos no ambiente de execução.

GKE

O GKE pode avaliar a postura de segurança do seu contêiner e fornecer orientação ativa sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ela inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações úteis e opinativas para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e visualizar insights de segurança.
Cloud Run

O Cloud Run contém um painel de segurança que exibe insights de segurança da cadeia de suprimentos de software, como informações de conformidade no nível do build do SLSA, procedência do build e vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel de insights de segurança do Cloud Run, consulte Implantar no Cloud Run e visualizar insights de segurança.

Crie uma cadeia de confiança usando políticas

A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança na cadeia de suprimentos de software coletando attestations, que são documentos digitais que certificam imagens. Um atestado significa que a imagem associada foi criada executando com êxito um processo específico e obrigatório. Com base nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada somente quando os atestados atenderem à política da sua organização e também pode ser configurado para alertar você se forem encontradas violações da política. Por exemplo, atestados podem indicar que uma imagem é:

Criado pelo Cloud Build.
Não contém vulnerabilidades maiores do que a gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, adicione-as a uma lista de permissões.

É possível usar a autorização binária com o GKE e o Cloud Run.

Preços

A lista a seguir aponta para as informações de preços dos serviços na solução Software Delivery Shield:

Cloud Workstations
Cloud Code: disponível para todos os clientes do Google Cloud sem custos financeiros.
Assured OSS: entre em contato com a equipe de vendas para saber mais sobre preços.
Artifact Registry
Artifact Analysis
Cloud Build
Cloud Deploy
Cloud Run
GKE
Autorização binária

A seguir

Saiba como criar aplicativos e acessar insights de segurança.
Saiba como implantar no Cloud Run e visualizar insights de segurança.
Saiba como implantar no GKE e visualizar insights de segurança.