Esta página foi traduzida pela API Cloud Translation.

Visão geral do Software Delivery Shield

O Software Delivery Shield é um fornecedor de software de ponta a ponta totalmente gerenciado solução de segurança de cadeia de suprimentos. Ele oferece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e que as equipes de segurança possam usar para melhorar a postura de segurança do fornecimento de software corrente

O Software Delivery Shield consiste em:

Produtos e recursos do Google Cloud que incorporam as práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
Painéis no console do Google Cloud que mostram informações de segurança sobre fontes, builds, artefatos, implantações e ambientes de execução. Essas informações incluem vulnerabilidades em artefatos, procedências e Lista de materiais do software (SBOM, na sigla em inglês) lista de dependências.
Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework Níveis da cadeia de suprimentos para artefatos de software (SLSA).

Componentes do Software Delivery Shield

O diagrama a seguir ilustra como os diferentes serviços O Software Delivery Shield trabalha em conjunto para proteger sua cadeia de suprimentos de software:

Diagrama que mostra os componentes do Software Delivery Shield

As seções a seguir explicam os produtos e recursos que fazem parte Solução Software Delivery Shield:

Componentes que ajudam a proteger o desenvolvimento

Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:

Cloud Workstations

O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Ele permite que os administradores de TI e segurança provisionem, escalonem gerenciar e proteger os ambientes de desenvolvimento e permite que os desenvolvedores acessar ambientes de desenvolvimento com configurações e e personalizáveis.

O Cloud Workstations ajuda a mudar a segurança para a esquerda ao melhorar a postura de segurança de seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como o VPC Service Controls, entrada ou saída particulares, atualização de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a Documentação do Cloud Workstations.
Proteção de origem do Cloud Code (pré-lançamento)

O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos ao Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo a partir de modelos de amostra e executem o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de usuários dependências e relatórios de licença, já que funcionam nos ambientes de desenvolvimento integrado. Ele fornece feedback rápido e útil que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.

Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o fornecimento de software

Proteger o suprimento de software, como artefatos de build e dependências de aplicativos, é uma etapa fundamental para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de software de código aberto torna esse problema particularmente desafiador.

Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e dependências do aplicativo:

Assured OSS (em inglês)

Com o serviço Assured OSS, você pode acessar e incorporar o OSS que foram verificados e testados pelo Google. Ele fornece pacotes Java e Python criados usando pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto Assured.
Artifact Registry e Artifact Analysis

O Artifact Registry permite armazenar, proteger e gerenciar seus artefatos de build. Além disso, o Artifact Analysis detecta proativamente as vulnerabilidades dos artefatos no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- O Artifact Analysis oferece integração sob demanda ou verificação automática para imagens de contêiner de base e pacotes de linguagem em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM) e faça o upload Declarações sobre vulnerabilidade, exploração e troca (VEX, na sigla em inglês) para as imagens no Artifact Registry.
- O Artifact Analysis fornece verificações independentes que identifica vulnerabilidades existentes e novas dentro da dependências de origem usadas pelos artefatos do Maven (pré-lançamento). A verificação ocorre toda vez que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens digitalizadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry oferece suporte repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de fontes externas predefinidas, como Docker Hub, Maven Central, o índice de pacotes Python (PyPI), Debian ou CentOS bem como fontes definidas pelo usuário para formatos compatíveis. Armazenar artefatos em cache em repositórios remotos reduz o tempo de download e melhora disponibilidade de pacotes e inclui verificação de vulnerabilidades se a verificação está ativado. Os repositórios virtuais consolidam repositórios dos mesmos em um só endpoint e permitem controlar a ordem das pesquisas em repositórios upstream. É possível priorizar seus pacotes particulares, o que reduz o risco de ataques de confusão de dependência.

Componentes que ajudam a proteger o pipeline de CI/CD

Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo a CI/CD pipelines de dados. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:

Cloud Build

O Cloud Build executa seus builds no Google Cloud. do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de build isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele oferece suporte Builds do SLSA nível 3 para imagens de contêiner.
- Ele gera uma procedência de build autenticada e não falsificável para aplicativos conteinerizados.
- Ela mostra insights de segurança. para aplicativos criados. Isso inclui o seguinte:
  - o nível de build do SLSA, que identifica o nível de maturidade do processo de build do software de acordo com a especificação do SLSA.
  - Vulnerabilidades em artefatos de build.
  - Procedência do build, que é uma coleção de metadados verificáveis sobre uma ser construído. Ele inclui detalhes como os resumos das imagens criadas, os locais da origem de entrada, o conjunto de ferramentas de build, as etapas de build e a duração do build.
Para instruções sobre como visualizar insights de segurança para aplicativos criados, consulte Crie um aplicativo e acesse insights de segurança.
Cloud Deploy

O Cloud Deploy automatiza o envio dos aplicativos para uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e o Cloud Run, com aprovações e rollbacks com um clique, segurança e auditoria corporativas, além de métricas de envio integradas. Além disso, ele exibe insights de segurança para aplicativos implantados.

Componentes que ajudam a proteger aplicativos em produção

GKE e o Cloud Run ajuda a proteger a postura de segurança de seus ambientes de execução. Ambos têm recursos de segurança para proteger seus aplicativos no momento da execução.

GKE

O GKE pode avaliar a postura de segurança dos seus contêineres e orientações sobre configurações de clusters, configurações de cargas de trabalho e vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações opinativas e acionáveis para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e visualizar insights de segurança.
Cloud Run

O Cloud Run contém um painel de segurança que mostra insights de segurança da cadeia de suprimentos de software, como as informações de compliance do nível de build da SLSA, a procedência do build e as vulnerabilidades encontradas nos serviços em execução. Para sobre como acessar os insights de segurança no Cloud Run de insights, consulte Fazer a implantação no Cloud Run e visualizar insights de segurança.

Crie uma cadeia de confiança usando políticas

A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança na cadeia de suprimentos de software coletando atestados, que são documentos digitais que certificam imagens. Um atestado significa que o serviço imagem foi criada executando com sucesso um processo específico e obrigatório. Baseado em nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada apenas quando os atestados atendem à política da sua organização e também pode ser configurado para alertar você se alguma violação de política for encontrada. Por exemplo, atestados podem indicam que a imagem:

Criado pelo Cloud Build.
Não contém vulnerabilidades maiores do que a gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, adicione-as a uma lista de permissões.

Você pode usar a autorização binária com o GKE e o Cloud Run.

Preços

A lista a seguir aponta as informações sobre preços dos serviços na Solução Software Delivery Shield:

Cloud Workstations
Cloud Code: disponível para todos os clientes do Google Cloud sem custo.
Assured OSS: entre em contato com a equipe de vendas para saber os preços informações imprecisas ou inadequadas.
Artifact Registry
Artifact Analysis
Cloud Build
Cloud Deploy
Cloud Run
GKE
Autorização binária

A seguir

Saiba como criar aplicativos e acessar insights de segurança.
Saiba como implantar no Cloud Run e visualizar insights de segurança.
Saiba como implantar no GKE e visualizar insights de segurança.