O Software Delivery Shield é um fornecedor de software de ponta a ponta totalmente gerenciado solução de segurança de cadeia de suprimentos. Ele oferece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e que as equipes de segurança possam usar para melhorar a postura de segurança do fornecimento de software corrente
O Software Delivery Shield consiste em:
- Produtos e recursos do Google Cloud que incorporam as práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
- Painéis no console do Google Cloud que mostram informações de segurança sobre fontes, builds, artefatos, implantações e ambientes de execução. Essas informações incluem vulnerabilidades em artefatos, procedências e Lista de materiais do software (SBOM, na sigla em inglês) lista de dependências.
- Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework Níveis da cadeia de suprimentos para artefatos de software (SLSA).
Componentes do Software Delivery Shield
O diagrama a seguir ilustra como os diferentes serviços O Software Delivery Shield trabalha em conjunto para proteger sua cadeia de suprimentos de software:
As seções a seguir explicam os produtos e recursos que fazem parte Solução Software Delivery Shield:
Componentes que ajudam a proteger o desenvolvimento
Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:
Cloud Workstations
O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Ele permite que os administradores de TI e segurança provisionem, escalonem gerenciar e proteger os ambientes de desenvolvimento e permite que os desenvolvedores acessar ambientes de desenvolvimento com configurações e e personalizáveis.
O Cloud Workstations ajuda a mudar a segurança para a esquerda ao melhorar a postura de segurança de seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como o VPC Service Controls, entrada ou saída particulares, atualização de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a Documentação do Cloud Workstations.
Proteção de origem do Cloud Code (pré-lançamento)
O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos ao Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo a partir de modelos de amostra e executem o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de usuários dependências e relatórios de licença, já que funcionam nos ambientes de desenvolvimento integrado. Ele fornece feedback rápido e útil que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.
Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.
Componentes que ajudam a proteger o fornecimento de software
Proteger o suprimento de software, como artefatos de build e dependências de aplicativos, é uma etapa fundamental para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de software de código aberto torna esse problema particularmente desafiador.
Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e dependências do aplicativo:
Assured OSS (em inglês)
Com o serviço Assured OSS, você pode acessar e incorporar o OSS que foram verificados e testados pelo Google. Ele fornece pacotes Java e Python criados usando pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto Assured.
Artifact Registry e Artifact Analysis
O Artifact Registry permite armazenar, proteger e gerenciar seus artefatos de build. Além disso, o Artifact Analysis detecta proativamente as vulnerabilidades dos artefatos no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- O Artifact Analysis oferece integração sob demanda ou verificação automática para imagens de contêiner de base e pacotes de linguagem em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM) e faça o upload Declarações sobre vulnerabilidade, exploração e troca (VEX, na sigla em inglês) para as imagens no Artifact Registry.
- O Artifact Analysis fornece verificações independentes que identifica vulnerabilidades existentes e novas dentro da dependências de origem usadas pelos artefatos do Maven (pré-lançamento). A verificação ocorre toda vez que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens digitalizadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry oferece suporte repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de fontes externas predefinidas, como Docker Hub, Maven Central, o índice de pacotes Python (PyPI), Debian ou CentOS bem como fontes definidas pelo usuário para formatos compatíveis. Armazenar artefatos em cache em repositórios remotos reduz o tempo de download e melhora disponibilidade de pacotes e inclui verificação de vulnerabilidades se a verificação está ativado. Os repositórios virtuais consolidam repositórios dos mesmos em um só endpoint e permitem controlar a ordem das pesquisas em repositórios upstream. É possível priorizar seus pacotes particulares, o que reduz o risco de ataques de confusão de dependência.
Componentes que ajudam a proteger o pipeline de CI/CD
Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo a CI/CD pipelines de dados. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:
Cloud Build
O Cloud Build executa seus builds no Google Cloud. do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de build isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele oferece suporte Builds do SLSA nível 3 para imagens de contêiner.
- Ele gera uma procedência de build autenticada e não falsificável para aplicativos conteinerizados.
- Ela mostra insights de segurança.
para aplicativos criados. Isso inclui o seguinte:
- o nível de build do SLSA, que identifica o nível de maturidade do processo de build do software de acordo com a especificação do SLSA.
- Vulnerabilidades em artefatos de build.
- Procedência do build, que é uma coleção de metadados verificáveis sobre uma ser construído. Ele inclui detalhes como os resumos das imagens criadas, os locais da origem de entrada, o conjunto de ferramentas de build, as etapas de build e a duração do build.
Para instruções sobre como visualizar insights de segurança para aplicativos criados, consulte Crie um aplicativo e acesse insights de segurança.
Cloud Deploy
O Cloud Deploy automatiza o envio dos aplicativos para uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e o Cloud Run, com aprovações e rollbacks com um clique, segurança e auditoria corporativas, além de métricas de envio integradas. Além disso, ele exibe insights de segurança para aplicativos implantados.
Componentes que ajudam a proteger aplicativos em produção
GKE e o Cloud Run ajuda a proteger a postura de segurança de seus ambientes de execução. Ambos têm recursos de segurança para proteger seus aplicativos no momento da execução.
GKE
O GKE pode avaliar a postura de segurança dos seus contêineres e orientações sobre configurações de clusters, configurações de cargas de trabalho e vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações opinativas e acionáveis para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e visualizar insights de segurança.
Cloud Run
O Cloud Run contém um painel de segurança que mostra insights de segurança da cadeia de suprimentos de software, como as informações de compliance do nível de build da SLSA, a procedência do build e as vulnerabilidades encontradas nos serviços em execução. Para sobre como acessar os insights de segurança no Cloud Run de insights, consulte Fazer a implantação no Cloud Run e visualizar insights de segurança.
Crie uma cadeia de confiança usando políticas
A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança na cadeia de suprimentos de software coletando atestados, que são documentos digitais que certificam imagens. Um atestado significa que o serviço imagem foi criada executando com sucesso um processo específico e obrigatório. Baseado em nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada apenas quando os atestados atendem à política da sua organização e também pode ser configurado para alertar você se alguma violação de política for encontrada. Por exemplo, atestados podem indicam que a imagem:
- Criado pelo Cloud Build.
- Não contém vulnerabilidades maiores do que a gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, adicione-as a uma lista de permissões.
Você pode usar a autorização binária com o GKE e o Cloud Run.
Preços
A lista a seguir aponta as informações sobre preços dos serviços na Solução Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponível para todos os clientes do Google Cloud sem custo.
- Assured OSS: entre em contato com a equipe de vendas para saber os preços informações imprecisas ou inadequadas.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorização binária
A seguir
- Saiba como criar aplicativos e acessar insights de segurança.
- Saiba como implantar no Cloud Run e visualizar insights de segurança.
- Saiba como implantar no GKE e visualizar insights de segurança.