Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Software Delivery Shield

Software Delivery Shield es un suministro de software de extremo a extremo completamente administrado y la cadena de seguridad de tu app. Proporciona un conjunto completo y modular de y herramientas en los productos de Google Cloud que los desarrolladores, DevOps y que los equipos de seguridad pueden usar para mejorar la postura de seguridad del suministro de software de la cadena de suministro.

Software Delivery Shield consiste en lo siguiente:

Productos y funciones de Google Cloud que incorporan prácticas recomendadas de seguridad para el desarrollo, la compilación, la prueba, el análisis, la implementación y la aplicación de políticas.
Paneles en la consola de Google Cloud que muestran información de seguridad sobre fuente, compilaciones, artefactos, implementaciones y entorno de ejecución. Esta información incluye vulnerabilidades en artefactos de compilación, su procedencia y Lista de materiales de software (SBOM) lista de dependencias.
Información que identifica el nivel de madurez de la cadena de suministro de software la seguridad con el Framework de Niveles de cadena de suministro para artefactos de software (SLSA).

Componentes de Software Delivery Shield

En el siguiente diagrama, se ilustra cómo los diferentes servicios Software Delivery Shield trabaja en conjunto para proteger tu cadena de suministro de software:

Un diagrama que muestra los componentes de Software Delivery Shield

En las siguientes secciones, se explican los productos y las funciones que se incluyen en el Solución Software Delivery Shield:

Componentes que ayudan a proteger el desarrollo

Los siguientes componentes de Software Delivery Shield ayudan a proteger la fuente de software código:

Cloud Workstations

Cloud Workstations proporciona entornos de desarrollo completamente administrados en Google Cloud. Permite a los administradores de TI y seguridad aprovisionar, escalar administrar y proteger sus entornos de desarrollo, y permite a los desarrolladores acceder a entornos de desarrollo con parámetros de configuración coherentes y herramientas personalizables.

Cloud Workstations ayuda a desplazar la seguridad a la izquierda, ya que mejora la postura de seguridad de los entornos de desarrollo de aplicaciones. Tiene funciones de seguridad, como los Controles del servicio de VPC, las entradas actualización de imágenes y las políticas de acceso de Identity and Access Management. Para obtener más información, consulta la Documentación de Cloud Workstations.
Cloud Code Source Protect (versión preliminar)

Cloud Code brinda compatibilidad con IDE para crear, implementar y integrar aplicaciones en Google Cloud. Les permite a los desarrolladores crear y personalizar una nueva aplicación a partir de plantillas de muestra y ejecutar la aplicación finalizada. Source protect de Cloud Code ofrece a los desarrolladores comentarios sobre seguridad en tiempo real, como la identificación de las dependencias y los informes de licencias, ya que funcionan en sus IDE. Proporciona comentarios rápidos y prácticos que permitan a los desarrolladores hacer correcciones en su código al inicio del proceso de desarrollo de software.

Disponibilidad de funciones: Cloud Code source protect no está disponible. para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.

Componentes que ayudan a proteger el suministro de software

Proteger el suministro de software (artefactos de compilación y dependencias de aplicaciones) es es un paso fundamental para mejorar la seguridad de la cadena de suministro de software. El dominio generalizado el uso de software de código abierto hace que este problema sea particularmente desafiante.

Los siguientes componentes de Software Delivery Shield ayudan a proteger los artefactos de compilación y las dependencias de aplicaciones:

Assured OSS

El servicio de Assured OSS te permite acceder al OSS y, luego, incorporarlo paquetes que Google verificó y probó. Brinda Java y Paquetes de Python compilados con canalizaciones seguras de Google. Estos paquetes se analizan, analizan y prueban con regularidad para detectar vulnerabilidades. Para ver más información, consulta la Documentación del software de código abierto garantizado.
Artifact Registry y Artifact Analysis

Artifact Registry te permite almacenar, proteger y administrar los artefactos de compilación y Artifact Analysis detecta de manera proactiva vulnerabilidades en relación con los artefactos en Artifact Registry. Artifact Registry proporciona las siguientes funciones para mejorar la seguridad de la cadena de suministro de software:
- Artifact Analysis proporciona a pedido o el análisis automatizado de imágenes de contenedor base y paquetes de lenguaje en contenedores.
- Artifact Analysis te permite generar una lista de materiales de software (SBOM) y sube el video. Declaraciones de Vulnerability Exploitability eXchange (VEX) para las imágenes de Artifact Registry.
- Artifact Analysis proporciona análisis independientes que identifica vulnerabilidades existentes y nuevas en el las dependencias de origen que usan tus artefactos de Maven (Vista previa). El análisis se realiza cada vez que envías un proyecto Java a Artifact Registry. Después del análisis inicial, Artifact Analysis supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry. en busca de nuevas vulnerabilidades.
- Artifact Registry admite repositorios remotos y repositorios virtuales. Los repositorios remotos almacenan artefactos de fuentes externas predeterminadas, como Docker Hub, Maven Central, el índice de paquetes de Python (PyPI), Debian o CentOS así como fuentes definidas por el usuario formatos admitidos. Almacenar artefactos en caché en repositorios remotos reduce el tiempo de descarga, mejora la disponibilidad del paquete e incluye el análisis de vulnerabilidades si se analizan esté habilitado. Los repositorios virtuales consolidan repositorios de la misma detrás de un único extremo y te permiten controlar el orden de búsqueda en repositorios ascendentes. Puedes priorizar tus paquetes privados, lo que reduce el riesgo de ataques de confusión de dependencias.

Componentes que ayudan a proteger la canalización de CI/CD

Las entidades que actúan de mala fe pueden atacar las cadenas de suministro de software comprometiendo la CI/CD canalizaciones. Los siguientes componentes de Software Delivery Shield ayudan a proteger el Canalización de CI/CD:

Cloud Build

Cloud Build ejecuta tus compilaciones en Google Cloud de Google Cloud. Ofrece funciones de seguridad, como datos de IAM, los Controles del servicio de VPC y los permisos de compilación efímera. Además, brinda las siguientes funciones para mejorar la postura de seguridad de tu cadena de suministro de software:
- Admite Compilaciones de SLSA de nivel 3 para imágenes de contenedor.
- Genera solicitudes de datos autenticados compilación de origen para aplicaciones alojadas en contenedores.
- Muestra estadísticas de seguridad. para aplicaciones compiladas. Incluye lo siguiente:
  - El nivel de compilación de SLSA, que identifica el nivel de madurez del software proceso de compilación de acuerdo con Especificación de SLSA.
  - Vulnerabilidades en artefactos de compilación.
  - Procedencia de compilación, que es una colección de metadatos verificables sobre un compilar. Incluye detalles como resúmenes de las imágenes compiladas, la las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación.
Si necesitas instrucciones para ver las estadísticas de seguridad de las aplicaciones compiladas, consulta Compila una aplicación y visualiza estadísticas de seguridad.
Cloud Deploy

Cloud Deploy automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una secuencia definida. Integra admite la entrega continua directamente a Google Kubernetes Engine, GKE Enterprise y Cloud Run, con aprobaciones y reversiones con un solo clic, seguridad y auditoría, así como métricas de entrega integradas. Además, se Muestra estadísticas de seguridad para las aplicaciones implementadas.

Componentes que ayudan a proteger las aplicaciones en producción

GKE y Cloud Run ayuda a proteger la postura de seguridad de tus entornos de ejecución. Ambos incluyen de seguridad para proteger tus aplicaciones en el tiempo de ejecución.

GKE

GKE puede evaluar la postura de seguridad de los contenedores orientación sobre la configuración de los clústeres, la configuración de la carga de trabajo y las vulnerabilidades. Incluye el panel de postura de seguridad, que analiza tus clústeres y cargas de trabajo de GKE para brindarte recomendaciones prácticas para mejorar tu postura de seguridad. Para obtener instrucciones en ver las estadísticas de seguridad en la postura de seguridad de GKE panel, consulta Implementa en GKE y consulta las estadísticas de seguridad.
Cloud Run

Cloud Run contiene un panel de seguridad que muestra el software información de seguridad de la cadena de suministro, como la información de cumplimiento a nivel de compilación de SLSA, la procedencia de las bases de datos y las vulnerabilidades que se encuentran en los servicios en ejecución. Para instrucciones para ver las estadísticas de seguridad en la consola de Cloud panel de estadísticas, consulta Realiza implementaciones en Cloud Run y visualiza estadísticas de seguridad.

Desarrollar una cadena de confianza mediante la política

Autorización Binaria ayuda a establecer, mantener y verificar una cadena de confianza junto con tu cadena de suministro de software mediante la recopilación de certificaciones, que son que certifiquen imágenes. Una certificación significa que los se compiló mediante la ejecución correcta de un proceso específico y necesario. Sede de estas certificaciones recopiladas, la Autorización Binaria ayuda a definir, verificar y aplicar políticas basadas en la confianza. Garantiza que la imagen se implemente solo cuando las certificaciones cumplan con la política de tu organización. También se puede establecer en te alertarán si se encuentra algún incumplimiento de política. Por ejemplo, las certificaciones pueden indican que una imagen es:

Compilada por Cloud Build.
No contiene vulnerabilidades de mayor gravedad que una especificada. Si hay vulnerabilidades específicas que no se aplican a tu puedes agregarlas a una lista de entidades permitidas.

Puedes usar Autorización Binaria con GKE y en Google Cloud Run.

Precios

La siguiente lista apunta a la información de precios de los servicios de la Solución Software Delivery Shield:

Cloud Workstations
Cloud Code: Disponible para todos los clientes de Google Cloud sin costo y cargar.
Assured OSS: Comunícate con el equipo de ventas para conocer los precios información.
Artifact Registry
Artifact Analysis
Cloud Build
Cloud Deploy
Cloud Run
GKE
Autorización binaria

¿Qué sigue?

Obtén más información para compilar aplicaciones y ver estadísticas de seguridad.
Aprende a implementar en Cloud Run y ver estadísticas de seguridad.
Aprende a implementar en GKE y ver las estadísticas de seguridad.