Software Delivery Shield è una fornitura di software end-to-end completamente gestita soluzione di sicurezza per le catene di sicurezza. Fornisce un insieme completo e modulare di funzionalità e strumenti dei prodotti Google Cloud che sviluppatori, DevOps i team di sicurezza possono usare per migliorare la condizione di sicurezza della fornitura del software o la catena di fornitura.
Software Delivery Shield è costituito da:
- Prodotti e funzionalità di Google Cloud che incorporano best practice per la sicurezza per sviluppo, creazione, test, analisi, deployment e applicazione dei criteri.
- Dashboard nella console Google Cloud che mostrano informazioni sulla sicurezza relative a codice sorgente, build, artefatti, deployment e runtime. Queste informazioni includono le vulnerabilità negli artefatti di build, nella provenienza Distinta di materiali per il software (SBOM) dell'elenco delle dipendenze.
- Informazioni che identificano il livello di maturità della catena di fornitura del software la sicurezza usando Livello della catena di fornitura per il framework SLSA (Software Artifacts).
Componenti di Software Delivery Shield
Il seguente diagramma illustra il modo in cui i diversi servizi all'interno Software Delivery Shield collabora per proteggere la catena di fornitura del tuo software:
Le sezioni seguenti illustrano i prodotti e le funzionalità che fanno parte del Soluzione Software Delivery Shield:
Componenti che contribuiscono a proteggere lo sviluppo
I seguenti componenti di Software Delivery Shield aiutano a proteggere l'origine del software codice:
Cloud Workstations
Cloud Workstations fornisce ambienti di sviluppo completamente gestiti su in Google Cloud. Consente agli amministratori IT e della sicurezza di eseguire il provisioning, scalare gestire e proteggere i propri ambienti di sviluppo e consente agli sviluppatori per accedere agli ambienti di sviluppo con configurazioni coerenti strumenti personalizzabili.
Cloud Workstations contribuisce a modificare il livello di sicurezza migliorando la security posture degli ambienti di sviluppo delle applicazioni. Ha come i Controlli di servizio VPC, il traffico privato in entrata o in uscita, aggiornamento dell'immagine e criteri di accesso a Identity and Access Management. Per ulteriori informazioni, consulta Documentazione di Cloud Workstations.
Protezione dell'origine Cloud Code (anteprima)
Cloud Code fornisce il supporto IDE per creare, eseguire il deployment e integrare applicazioni con Google Cloud. Consente agli sviluppatori di creare e personalizzare una nuova applicazione da modelli di esempio ed eseguire completa dell'applicazione. Cloud Code source protect offre agli sviluppatori il feedback sulla sicurezza in tempo reale, come l’identificazione di i report sulle dipendenze e sulle licenze, quando funzionano nei rispettivi IDE. Offre un feedback rapido e pratico che consente agli sviluppatori di apportare correzioni il proprio codice all'inizio del processo di sviluppo del software.
Disponibilità della funzionalità: source protect di Cloud Code non è disponibile per l'accesso pubblico. Per accedere a questa funzionalità, consulta la pagina di richiesta di accesso.
Componenti che contribuiscono a proteggere la fornitura del software
Proteggere la fornitura del software (artefatto della build e dipendenze dell'applicazione) un passaggio fondamentale per migliorare la sicurezza della catena di fornitura del software. L'uso diffuso del software open source rende questo problema particolarmente impegnativo.
I seguenti componenti di Software Delivery Shield consentono di proteggere gli artefatti delle build e le dipendenze dell'applicazione:
OSS di Assured
Il servizio Assured OSS ti consente di accedere all'OSS e incorporarlo di pacchetti che sono stati verificati e testati da Google. Offre Java e Pacchetti Python creati utilizzando le pipeline sicure di Google. Questi pacchetti vengono regolarmente scansionati, analizzati e testati per rilevare le vulnerabilità. Per ulteriori informazioni informazioni, consulta Documentazione di Assured Open Source Software.
Artifact Registry e Artifact Analysis
Artifact Registry ti consente di archiviare, proteggere gestire gli artefatti della build Analisi degli artefatti rileva proattivamente le vulnerabilità per gli artefatti in Artifact Registry. Artifact Registry fornisce le seguenti funzionalità per migliorare la sicurezza postura della catena di fornitura del software:
- L'analisi degli elementi fornisce un'analisi on demand o automatizzata integrata per le immagini container di base e i pacchetti di linguaggio nei container.
- Artifact Analysis ti consente generare una distinta base del software (SBOM) e carica Istruzioni VEX (Vulnerability Exploitability eXchange) per le immagini in Artifact Registry.
- Artifact Analysis offre analisi indipendenti che identifica le vulnerabilità esistenti e le nuove vulnerabilità all'interno dello spazio delle dipendenze del codice sorgente utilizzate dagli artefatti Maven (anteprima). La scansione viene eseguita ogni volta che esegui il push di un progetto Java Artifact Registry. Dopo la scansione iniziale, Artifact Analysis monitora continuamente i metadati delle immagini sottoposte a scansione in Artifact Registry per rilevare nuove vulnerabilità.
- Artifact Registry supporta repository remoti e repository virtuali. I repository remoti archiviano artefatti da origini esterne preimpostate come Docker Hub, Maven Central, Python Package Index (PyPI), Debian o CentOS nonché quelle definite dall'utente per formati supportati. La memorizzazione nella cache degli artefatti nei repository remoti riduce i tempi di download, migliora di pacchetti e include l'analisi delle vulnerabilità sia abilitato. I repository virtuali consolidano i repository dello stesso dietro un singolo endpoint e ti consentono di controllare l'ordine di ricerca nei repository upstream. Puoi dare la priorità ai tuoi pacchetti privati, il che riduce il rischio attacchi di confusione da dipendenza.
Componenti che contribuiscono a proteggere la pipeline CI/CD
Gli utenti malintenzionati possono attaccare le catene di fornitura del software compromettendo le pipeline CI/CD. I seguenti componenti di Software Delivery Shield aiutano a proteggere Pipeline CI/CD:
Cloud Build
Cloud Build esegue le build su Google Cloud dell'infrastruttura. Offre funzionalità di sicurezza come autorizzazioni IAM, Controlli di servizio VPC e ambienti di build temporanei. Fornisce inoltre le seguenti funzionalità per migliorare la security posture della catena di fornitura del software:
- Supporta le build SLSA di livello 3 per le immagini container.
- Genera dati autenticati e non falsificabili provenienza della build per per applicazioni containerizzate.
- Mostra approfondimenti sulla sicurezza
per le applicazioni create. Ad esempio:
- il livello di build SLSA, che identifica il livello di maturità del software in conformità con il Specifiche SLSA.
- Vulnerabilità negli elementi della build.
- Build provenienza, ovvero una raccolta di metadati verificabili su un creare. Sono inclusi dettagli come i digest delle immagini create, le località delle origini di input, la toolchain di build, i passaggi di build e la durata della build.
Per istruzioni sulla visualizzazione degli insight sulla sicurezza per le applicazioni create, vedi Crea un'applicazione e visualizza insight sulla sicurezza.
Cloud Deploy
Cloud Deploy automatizza la distribuzione le applicazioni a una serie di ambienti di destinazione in una sequenza definita. it supporta la distribuzione continua direttamente in Google Kubernetes Engine, GKE Enterprise e Cloud Run, con approvazioni e rollback con un solo clic, sicurezza e controllo, nonché metriche di distribuzione integrate. Inoltre, visualizza insight sulla sicurezza per le applicazioni di cui è stato eseguito il deployment.
Componenti che contribuiscono a proteggere le applicazioni in produzione
GKE e Cloud Run ti aiuta a proteggere la strategia di sicurezza dei tuoi ambienti di runtime. Entrambi includono per proteggere le applicazioni in fase di runtime.
GKE
GKE può valutare la postura di sicurezza dei container e dare indicazioni su impostazioni del cluster, configurazione dei carichi di lavoro e vulnerabilità. Include la dashboard della security posture, che analizza i cluster e i carichi di lavoro GKE per fornirti suggerimenti attuabili per migliorare la security posture. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nella postura di sicurezza di GKE dashboard, consulta Esegui il deployment su GKE e visualizza insight sulla sicurezza.
Cloud Run
Cloud Run contiene un riquadro della sicurezza che mostra insight sulla sicurezza della catena di fornitura del software, come le informazioni sulla conformità a livello di build SLSA, la provenienza della build e le vulnerabilità rilevate nei servizi in esecuzione. Per Istruzioni per la visualizzazione degli insight sulla sicurezza nella sicurezza di Cloud Run riquadro degli approfondimenti, consulta Esegui il deployment su Cloud Run e visualizza insight sulla sicurezza.
Costruisci una catena di fiducia attraverso i criteri
Autorizzazione binaria consente di stabilire, mantenere e verificare una catena di attendibilità insieme la tua catena di fornitura del software raccogliendo attestazioni, che sono che attestano le immagini. Un'attestazione indica che l'oggetto associato l'immagine è stata creata eseguendo correttamente un processo specifico e richiesto. Sede su queste attestazioni raccolte, Autorizzazione binaria consente di definire, verificare e applicare criteri basati su attendibilità. Assicura che il deployment dell'immagine venga eseguito quando le attestazioni soddisfano i criteri dell'organizzazione. Inoltre, possono essere impostate su ti avvisa in caso di violazioni delle norme. Ad esempio, le attestazioni possono indicare che un'immagine:
- Creato da Cloud Build.
- Non contiene vulnerabilità di livello superiore a quello specificato. Se esistono vulnerabilità specifiche che non si applicano al tuo applicazioni, puoi aggiungerle a una lista consentita.
Puoi usare Autorizzazione binaria con GKE in Cloud Run.
Prezzi
Il seguente elenco rimanda alle informazioni sui prezzi dei servizi del Soluzione Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponibile senza costi per tutti i clienti Google Cloud ricarica.
- Assured OSS: contatta il team di vendita per informazioni sui prezzi.
- Artifact Registry
- Analisi degli artefatti
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorizzazione binaria
Passaggi successivi
- Scopri come creare applicazioni e visualizzare insight sulla sicurezza.
- Scopri come eseguire il deployment in Cloud Run e visualizzare gli insight sulla sicurezza.
- Scopri come eseguire il deployment in GKE e visualizzare gli insight sulla sicurezza.