O Software Delivery Shield é uma solução de segurança de ponta a ponta da cadeia de suprimentos de software totalmente gerenciada. Ele oferece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e que as equipes de segurança possam usar para melhorar a postura de segurança do fornecimento de software corrente
O Software Delivery Shield consiste em:
- Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, build, teste, verificação, implantação e aplicação de políticas.
- Painéis no console do Google Cloud que mostram informações de segurança sobre origem, builds, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência de build e lista de dependências de lista de materiais de software (SBOM, na sigla em inglês).
- Informações que identificam o nível de maturidade da cadeia de suprimentos de software de segurança usando o Framework de níveis da cadeia de suprimentos para artefatos de software (SLSA).
Componentes do Software Delivery Shield
O diagrama a seguir ilustra como os diferentes serviços do Software Delivery Shield trabalham juntos para proteger sua cadeia de suprimentos de software:
As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:
Componentes que ajudam a proteger o desenvolvimento
Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:
Cloud Workstations
O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados em Google Cloud. Ele permite que os administradores de TI e segurança provisionem, escalonem gerenciar e proteger os ambientes de desenvolvimento e permite que os desenvolvedores acessar ambientes de desenvolvimento com configurações e e personalizáveis.
As estações de trabalho de nuvem ajudam a mudar a segurança para a esquerda, melhorando a postura de segurança dos seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particulares, atualização forçada de imagens e políticas de acesso do Identity and Access Management. Para mais informações, consulte a Documentação do Cloud Workstations.
Proteção de origem do Cloud Code (pré-lançamento)
O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos ao Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo a partir de modelos de amostra e executem o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de usuários dependências e relatórios de licença, já que funcionam nos ambientes de desenvolvimento integrado. Ele fornece feedback rápido e útil que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.
Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.
Componentes que ajudam a proteger o fornecimento de software
Proteger o fornecimento de software (artefatos de compilação e dependências de aplicativos) é uma etapa crítica para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de software de código aberto torna esse problema particularmente desafiador.
Os seguintes componentes do Software Delivery Shield ajudam a proteger artefatos de build e dependências de aplicativos:
Assured OSS
Com o serviço Assured OSS, você pode acessar e incorporar o OSS que foram verificados e testados pelo Google. Ele fornece pacotes Java e Python criados usando pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais mais informações, consulte a Documentação do Software de código aberto garantido.
Artifact Registry e Artifact Analysis
O Artifact Registry permite armazenar, proteger e gerenciar os artefatos do build e Análise de artefatos detecta proativamente vulnerabilidades em artefatos no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a segurança da cadeia de suprimentos de software:
- O Artifact Analysis fornece sob demanda ou verificação automática para imagens de contêiner base e pacotes de linguagens em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM) e faça o upload Declarações sobre vulnerabilidade, exploração e troca (VEX, na sigla em inglês) para as imagens no Artifact Registry.
- O Artifact Analysis fornece verificações independentes que identifica vulnerabilidades existentes e novas dentro da dependências de origem usadas pelos artefatos do Maven (pré-lançamento). A verificação acontece sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens digitalizadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry oferece suporte repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de origens externas predefinidas, como o Docker Hub, o Maven Central, o índice de pacotes Python (PyPI), o Debian ou o CentOS, bem como origens definidas pelo usuário para formatos compatíveis. O armazenamento em cache de artefatos em repositórios remotos reduz o tempo de download, melhora a disponibilidade do pacote e inclui a verificação de vulnerabilidades, se ela estiver ativada. Os repositórios virtuais consolidam repositórios dos mesmos em um só endpoint e permitem controlar a ordem das pesquisas em repositórios upstream. É possível priorizar seus pacotes privados, o que reduz o risco de ataques de confusão de dependência.
Componentes que ajudam a proteger o pipeline de CI/CD
Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo a CI/CD pipelines de dados. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:
Cloud Build
O Cloud Build executa seus builds no Google Cloud. do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de build isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele oferece suporte a builds SLSA de nível 3 para imagens de contêiner.
- Ele gera informações procedência do build para aplicativos conteinerizados.
- Ele mostra insights de segurança
para aplicativos integrados. Isso inclui o seguinte:
- o nível de build do SLSA, que identifica o nível de maturidade do software processo de build de acordo com a Especificação SLSA.
- Vulnerabilidades em artefatos de builds.
- Procedência do build, que é uma coleção de metadados verificáveis sobre um build. Ele inclui detalhes como os resumos das imagens construídas, o locais de origem de entrada, o conjunto de ferramentas, as etapas e a duração da compilação.
Para instruções sobre como conferir insights de segurança para aplicativos criados, consulte Criar um aplicativo e conferir insights de segurança.
Cloud Deploy
O Cloud Deploy automatiza a entrega de aplicativos para uma série de ambientes de destino em uma sequência definida. Ela oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e Cloud Run, com aprovações e reversões em um clique, Enterprise segurança e auditoria, além de métricas de entrega integradas. Além disso, ele mostra insights de segurança para aplicativos implantados.
Componentes que ajudam a proteger aplicativos em produção
GKE e o Cloud Run ajuda a proteger a postura de segurança de seus ambientes de execução. Ambos têm recursos de segurança para proteger seus aplicativos no momento da execução.
GKE
O GKE pode avaliar a postura de segurança do contêiner e dar orientações ativas sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para que você tenha recomendações práticas para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e visualizar insights de segurança.
Cloud Run
O Cloud Run contém um painel de segurança que mostra insights de segurança da cadeia de suprimentos de software, como as informações de compliance do nível de build da SLSA, a procedência do build e as vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel de insights de segurança do Cloud Run, consulte Implantar no Cloud Run e conferir insights de segurança.
Criar uma cadeia de confiança com a política
A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança sua cadeia de suprimentos de software coletando atestados, que são digitais que certificam as imagens. Um atestado significa que a imagem associada foi criada ao executar um processo específico. Com base nesses atestados coletados, a Autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada apenas quando os atestados atendem à política da sua organização e também pode ser configurado para alertar você se alguma violação de política for encontrada. Por exemplo, atestados podem indicam que a imagem:
- Criado pelo Cloud Build.
- Não contém vulnerabilidades com uma gravidade maior do que a especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, poderá adicioná-los a uma lista de permissões.
É possível usar a autorização binária com o GKE e o Cloud Run.
Preços
A lista a seguir aponta as informações sobre preços dos serviços na Solução Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponível para todos os clientes do Google Cloud carga.
- Assured OSS: entre em contato com a equipe de vendas para saber mais sobre preços.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorização binária
A seguir
- Saiba como criar aplicativos e acessar insights de segurança.
- Saiba como implantar no Cloud Run e visualizar insights de segurança.
- Saiba como implantar no GKE e visualizar insights de segurança.