Cette page a été traduite par l'API Cloud Translation.

Présentation de Software Delivery Shield

Software Delivery Shield est une fourniture logicielle de bout en bout entièrement gérée de sécurité Google Cloud. Il offre un ensemble complet et modulaire des fonctionnalités et outils disponibles dans les produits Google Cloud que les développeurs, les équipes de sécurité peuvent utiliser pour améliorer la posture de sécurité de la fourniture de logiciels de la chaîne.

Software Delivery Shield comprend:

Produits et fonctionnalités Google Cloud qui intègrent les bonnes pratiques de sécurité pour le développement, la compilation, les tests, l'analyse, le déploiement et l'application des règles.
Les tableaux de bord de la console Google Cloud qui présentent des informations de sécurité la source, les compilations, les artefacts, les déploiements et l'environnement d'exécution. Ces informations incluent : les failles dans les artefacts de compilation, la provenance des compilations Nomenclature logicielle (SBOM) liste de dépendances.
Informations identifiant le niveau de maturité de votre chaîne d'approvisionnement logicielle la sécurité à l'aide du Framework SLSA (Supply chain Levels for Software Artifacts)

Composants de Software Delivery Shield

Le schéma suivant montre comment les différents services Software Delivery Shield travaille en synergie pour protéger votre chaîne d'approvisionnement logicielle:

Schéma représentant les composants de Software Delivery Shield

Les sections suivantes décrivent les produits et les fonctionnalités inclus dans l' Solution Software Delivery Shield:

Composants contribuant à sécuriser le développement

Les composants suivants de Software Delivery Shield contribuent à protéger la source logicielle code:

Cloud Workstations

Cloud Workstations fournit des environnements de développement entièrement gérés sur Google Cloud. Il permet aux administrateurs informatiques et de sécurité de provisionner, faire évoluer de gérer et de sécuriser leurs environnements de développement, et permet aux développeurs d'accéder aux environnements de développement avec des configurations et avec des outils personnalisables.

Cloud Workstations facilite le redéploiement de la sécurité en améliorant la stratégie de sécurité de vos environnements de développement d'applications. Il contient fonctionnalités de sécurité telles que VPC Service Controls, entrée ou sortie privée, de mise à jour d'images et les stratégies d'accès Identity and Access Management. Pour en savoir plus, consultez les Documentation Cloud Workstations
Protection de la source protect Cloud Code (preview)

Cloud Code est compatible avec les IDE pour créer, déployer à intégrer des applications à Google Cloud. Il permet aux développeurs créer et personnaliser une application à partir d'exemples de modèles, puis exécuter une application terminée. Cloud Code Source Protect permet aux développeurs des informations de sécurité en temps réel, telles que l'identification les dépendances et les rapports de licence, car ils fonctionnent dans leurs IDE. Il fournit des commentaires rapides et exploitables qui permettent aux développeurs d'apporter des corrections aux leur code au début du processus de développement logiciel.

Disponibilité de la fonctionnalité: Cloud Code Source Protect n'est pas disponible. pour l'accès public. Pour accéder à cette fonctionnalité, consultez les page de demande d'accès.

Composants qui aident à sécuriser l’approvisionnement logiciel

Il est essentiel de sécuriser l'approvisionnement en logiciels (artefacts de compilation et dépendances des applications). une étape essentielle pour améliorer la sécurité de la chaîne d'approvisionnement logicielle. L'omniprésence l'utilisation de logiciels open source rend ce problème particulièrement difficile.

Les composants suivants de Software Delivery Shield aident à protéger les artefacts de compilation et les dépendances des applications:

Assured OSS

Le service Assured OSS vous permet d'accéder à l'OSS et de l'intégrer packages qui ont été vérifiés et testés par Google. Il fournit des fonctions Java et Packages Python créés à l'aide des pipelines sécurisés de Google. Ces packages sont régulièrement analysés, analysés et testés à la recherche de vulnérabilités. Pour plus consultez les Documentation Assured sur les logiciels Open Source
Artifact Registry et Artifact Analysis

Artifact Registry vous permet de stocker, de sécuriser et gérer vos artefacts de compilation ; Artifact Analysis détecte de manière proactive les failles liées aux artefacts dans Artifact Registry. Artifact Registry fournit les fonctionnalités suivantes pour améliorer la sécurité de votre chaîne d'approvisionnement logicielle:
- Artifact Analysis intègre à la demande ou analyse automatisée pour des images de conteneurs de base et des packages de langage dans des conteneurs.
- Artifact Analysis vous permet générer une nomenclature logicielle (SBOM) et importez Instructions VEX (Vulnerability Exploitability eXchange) pour les images dans Artifact Registry.
- Artifact Analysis fournit une analyse autonome identifie les vulnérabilités existantes et les nouvelles dépendances sources utilisées par vos artefacts Maven (Aperçu). L'analyse a lieu chaque fois que vous transférez un projet Java vers Artifact Registry. Après l'analyse initiale, Artifact Analysis surveille en permanence les métadonnées des images analysées dans Artifact Registry pour détecter les nouvelles failles.
- Artifact Registry est compatible avec dépôts distants et des dépôts virtuels. Les dépôts distants stockent des artefacts provenant de sources externes prédéfinies, Docker Hub, Maven Central, l'index de packages Python (PyPI), Debian ou CentOS ainsi que les sources définies par l'utilisateur formats compatibles. La mise en cache des artefacts dans les dépôts distants réduit le temps de téléchargement, améliore la disponibilité des packages et inclut l'analyse des failles est activé. Les dépôts virtuels regroupent les référentiels derrière un seul point de terminaison et vous permet de contrôler l'ordre de recherche dans les dépôts en amont. Vous pouvez prioriser vos packages privés, ce qui réduit le risque de attaques par confusion liées à la dépendance.

Composants qui contribuent à protéger le pipeline CI/CD

Les acteurs malintentionnés peuvent attaquer les chaînes d’approvisionnement logicielles en compromettant la CI/CD les pipelines de ML. Les composants suivants de Software Delivery Shield aident à protéger Pipeline CI/CD:

Cloud Build

Cloud Build exécute vos compilations sur Google Cloud de l'infrastructure. Il offre des fonctionnalités de sécurité telles que les autorisations IAM, VPC Service Controls, ainsi que environnements de compilation éphémères. Il offre également les fonctionnalités suivantes : pour améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle:
- Compatible Compilations SLSA de niveau 3 pour les images de conteneurs
- Il génère des données authentifiées et non falsifiables provenance de la compilation pour des applications conteneurisées.
- Il affiche des insights sur la sécurité pour les applications créées. Par exemple :
  - Le niveau de compilation SLSA, qui identifie le niveau de maturité de votre logiciel de compilation conformément aux Spécification SLSA.
  - Failles liées aux artefacts de compilation
  - La provenance de la compilation, qui est une collection de métadonnées vérifiables concernant un créer. Il inclut des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de compilation.
Pour savoir comment afficher les insights sur la sécurité pour les applications créées, consultez Créez une application et affichez les insights sur la sécurité.
Cloud Deploy

Cloud Deploy automatise la diffusion de vos des applications à une série d'environnements cibles dans une séquence définie. Il permet la livraison continue directement dans Google Kubernetes Engine, GKE Enterprise Cloud Run, qui offre des approbations et rollbacks en un clic, permet aux entreprises la sécurité et l'audit, ainsi que des métriques de diffusion intégrées. De plus, il affiche des insights sur la sécurité pour les applications déployées.

Composants contribuant à protéger les applications en production

GKE et Cloud Run aide à sécuriser la stratégie de sécurité de vos environnements d'exécution. Ils sont tous deux livrés avec pour protéger vos applications au moment de l'exécution.

GKE

GKE peut évaluer la stratégie de sécurité de vos conteneurs et donner des conseils sur les paramètres des clusters, la configuration des charges de travail et les failles. Elle inclut le tableau de bord de stratégie de sécurité, qui analyse des clusters et des charges de travail GKE pour vous fournir recommandations exploitables pour améliorer votre stratégie de sécurité. Instructions sur l'affichage des insights de sécurité pour la stratégie de sécurité GKE consultez le tableau de bord Déployez sur GKE et affichez les insights sur la sécurité.
Cloud Run

Cloud Run contient un panneau de sécurité qui affiche le logiciel Les insights sur la sécurité de la chaîne d'approvisionnement, comme les informations de conformité au niveau du build SLSA, la provenance de la compilation et les failles détectées dans les services en cours d'exécution. Pour comment afficher les insights de sécurité dans la documentation des insights, consultez Déployer sur Cloud Run et afficher les insights sur la sécurité :

Créer une chaîne de confiance avec des règles

L'autorisation binaire permet d'établir, de maintenir et de vérifier une chaîne de confiance votre chaîne d'approvisionnement logicielle en collectant des attestations, qui sont des qui certifient les images. Une attestation signifie que le compte associé image a été créée en exécutant avec succès un processus spécifique requis. Basés sur les attestations collectées, l'autorisation binaire permet de définir, de vérifier et appliquer des stratégies basées sur la confiance. Il s'assure que l'image n'est déployée que lorsque les attestations répondent aux règles de votre organisation, et il peut aussi être défini sur vous alerte en cas de non-respect des règles. Par exemple, les attestations peuvent indiquent qu'une image est:

Compilé par Cloud Build.
Ne comporte pas de failles supérieures au niveau de gravité spécifié. S'il existe des vulnérabilités spécifiques qui ne s'appliquent pas applications, vous pouvez les ajouter à une liste d'autorisation.

Vous pouvez utiliser l'autorisation binaire avec GKE Cloud Run.

Tarifs

La liste suivante renvoie aux informations tarifaires des services dans Solution Software Delivery Shield:

Cloud Workstations
Cloud Code: disponible pour tous les clients Google Cloud charge.
Assured OSS: contactez l'équipe commerciale pour connaître les tarifs des informations.
Artifact Registry
Artifact Analysis
Cloud Build
Cloud Deploy
Cloud Run
GKE
Autorisation binaire

Étape suivante

Découvrez comment créer des applications et afficher des insights sur la sécurité.
Découvrez comment déployer sur Cloud Run et afficher les insights sur la sécurité.
Découvrez comment déployer sur GKE et afficher les insights sur la sécurité.