Software Delivery Shield – Übersicht

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Software Delivery Shield ist eine vollständig verwaltete End-to-End-Softwarelieferkette. Es bietet eine umfassende und modulare Reihe von Funktionen und Tools für alle Google Cloud-Dienste, die Entwickler, DevOps und Sicherheitsteams verwenden können, um den Sicherheitsstatus der Softwarelieferkette zu verbessern.

Software Delivery Shield besteht aus:

  • Google Cloud-Produkte und -Features, die Best Practices für Sicherheit in den Bereichen Entwicklung, Build, Test, Scan, Bereitstellung und Durchsetzung von Richtlinien enthalten.
  • Dashboards in der Google Cloud Console, die Sicherheitsinformationen zu Quelle, Builds, Artefakten, Bereitstellungen und Laufzeit anzeigen. Zu diesen Informationen gehören Sicherheitslücken in Build-Artefakten, Build-Herkunft und der Software Bill of Materials (SBOM)-Abhängigkeitsliste.
  • Informationen zur Bestimmung des Reifegrads Ihrer Softwarelieferkette mit dem SSL-Framework (Supply Chain Levels for Software Artifacts).

Komponenten von Software Delivery Shield

Das folgende Diagramm zeigt, wie die verschiedenen Dienste in Software Delivery Shield zusammenwirken, um Ihre Softwarelieferkette zu schützen:

Diagramm, das die Komponenten von Software Delivery Shield zeigt

In den folgenden Abschnitten werden die Produkte und Funktionen erläutert, die Teil der Software Delivery Shield-Lösung sind:

Komponenten für eine sichere Entwicklung

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz des Softwarequellcodes bei:

  • Cloud Workstations (Vorschau)

    Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen in Google Cloud. IT- und Sicherheitsadministratoren können ihre Entwicklungsumgebungen ganz einfach bereitstellen, skalieren, verwalten und schützen. Außerdem können Entwickler mit konsistenten Konfigurationen und anpassbaren Tools auf Entwicklungsumgebungen zugreifen.

    Mit Cloud Workstations können Sie die Sicherheit verbessern und den Sicherheitsstatus Ihrer Entwicklungsumgebungen verbessern. Es bietet Sicherheitsfeatures wie VPC Service Controls, privaten eingehenden oder ausgehenden Traffic, erzwungene Image-Updates und Zugriffsrichtlinien für die Identitäts- und Zugriffsverwaltung. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations.

  • Cloud Code Source Protect (Vorschau)

    Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Integrieren von Anwendungen in Google Cloud. Entwickler können damit eine neue Anwendung aus Beispielvorlagen erstellen und anpassen sowie die fertige Anwendung ausführen. Mit Cloud Code Source Protection erhalten Entwickler Echtzeit-Sicherheitsfeedback, z. B. zur Identifizierung von anfälligen Abhängigkeiten und Lizenzberichten, während sie in ihren IDEs arbeiten. Es bietet schnelles und umsetzbares Feedback, mit dem Entwickler zu Beginn des Softwareentwicklungsprozesses Korrekturen an ihrem Code vornehmen können.

    Verfügbarkeit von Funktionen: Der Quellcodeschutz von Cloud Code ist nicht für den öffentlichen Zugriff verfügbar. Informationen zum Zugriff auf dieses Feature finden Sie auf der Seite mit der Zugriffsanfrage.

Komponenten zum Schutz der Software

Der Schutz der Softwarelieferanten – Build-Artefakte und Anwendungsabhängigkeiten – ist ein wichtiger Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Die weit verbreitete Verwendung von Open-Source-Software macht dieses Problem besonders schwierig.

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der Build-Artefakte und Anwendungsabhängigkeiten bei:

  • Assured OSS (Vorschau)

    Mit dem Assured OSS-Dienst können Sie auf die von Google geprüften und getesteten OSS-Pakete zugreifen und sie einbinden. Sie bietet mehr als 250 Pakete für Java und Python. Diese Pakete werden mit den sicheren Pipelines von Google erstellt und regelmäßig auf Sicherheitslücken geprüft, analysiert und getestet. Weitere Informationen finden Sie in der Dokumentation zu Assured Open-Source-Software.

  • Artifact Registry und Container Analysis

    Mit Artifact Registry können Sie Ihre Build-Artefakte speichern, schützen und verwalten. Container Analysis erkennt proaktiv Sicherheitslücken in Artifact Registry. Artifact Registry bietet die folgenden Features, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

    • Container Analysis bietet integriertes On-Demand- oder automatisches Scannen von Basis-Container-Images, Maven- und Go-Paketen in Containern sowie für nicht containerisierte Maven-Pakete.
    • Container Analysis bietet eigenständige Scans (Vorschau), mit denen vorhandene Sicherheitslücken und neue Sicherheitslücken innerhalb der von Ihren Maven-Artefakten verwendeten Open-Source-Abhängigkeiten identifiziert werden. Der Scan wird jedes Mal ausgeführt, wenn Sie ein Java-Projekt per Push an Artifact Registry übertragen. Nach dem ersten Scan überwacht Container Analysis die Metadaten für gescannte Images in Artifact Registry kontinuierlich auf neue Sicherheitslücken.
      • Verfügbarkeit der Funktion Diese Funktion ist nicht für den öffentlichen Zugriff verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite für Zugriffsanfragen.
    • Artifact Registry unterstützt Remote-Repositories (Vorschau) und virtuelle Repositories (Vorschau) für Java-Pakete. Ein Remote-Repository fungiert als Caching-Proxy für Abhängigkeiten von Maven Central. Das verkürzt die Downloadzeit, verbessert die Paketverfügbarkeit und beinhaltet das Scannen auf Sicherheitslücken, wenn das Scannen aktiviert ist. Virtuelle Repositories konsolidieren Repositories desselben Formats hinter einem einzelnen Endpunkt und ermöglichen Ihnen die Kontrolle der Suchreihenfolge in vorgelagerten Repositories. Sie können private Pakete priorisieren und so das Risiko von Abhängigkeitskonflikten verringern.
      • Verfügbarkeit von Funktionen Diese Funktionen sind nicht für den öffentlichen Zugriff verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite für Zugriffsanfragen.

Komponenten zum Schutz der CI/CD-Pipeline

Schlechte Akteure können Softwarelieferketten durch Kompromittierung der CI/CD-Pipelines angreifen. Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der CI/CD-Pipeline bei:

  • Cloud Build

    Cloud Build führt Ihre Builds in der Google Cloud-Infrastruktur aus. Sie bietet Sicherheitsfeatures wie allgemeine IAM-Berechtigungen, VPC Service Controls sowie isolierte und sitzungsspezifische Build-Umgebungen. Darüber hinaus bietet es die folgenden Features, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

    • Es unterstützt SLSA-Level-3-Builds für Container-Images.
    • Sie generiert eine authentifizierte und nicht fälschbare Build-Herkunft für containerisierte Anwendungen.
    • Es zeigt Sicherheitsinformationen für erstellte Anwendungen an (Vorschau). Dazu zählen:
      • Die SLSA-Build-Ebene, die die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation angibt.
      • Sicherheitslücken in Build-Artefakten.
      • Build-Herkunft, d. h. eine Sammlung von überprüfbaren Metadaten zu einem Build. Sie enthält Details wie die Digests der erstellten Images, die Speicherorte der Eingabequelle, die Build-Toolchain, die Build-Schritte und die Build-Dauer.

    Eine Anleitung zum Aufrufen von Sicherheitsinformationen für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsinformationen ansehen.

  • Google Cloud Deploy

    Google Cloud Deploy automatisiert die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Reihenfolge. Sie unterstützt die kontinuierliche Bereitstellung direkt in Google Kubernetes Engine, Anthos und Cloud Run mit Genehmigungen und Rollbacks mit nur einem Klick, Sicherheits- und Auditfunktionen für Unternehmen sowie integrierten Messwerten.

Komponenten zum Schutz von Anwendungen in der Produktion

GKE und Cloud Run tragen zum Sicherheitsstatus Ihrer Laufzeitumgebungen bei. Beide bieten Sicherheitsfunktionen, um Ihre Anwendungen während der Laufzeit zu schützen.

  • GKE

    GKE kann die Sicherheit Ihres Containers bewerten und aktiv Hinweise zu Clustereinstellungen, Arbeitslastkonfigurationen und Sicherheitslücken geben. Sie enthält das Dashboard für den Sicherheitsstatus (Vorschau), das Ihre GKE-Cluster und -Arbeitslasten scannt, um Ihnen geeignete, praktikable Empfehlungen zur Verbesserung Ihres Sicherheitsstatus zu liefern. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Dashboard für den GKE-Sicherheitsstatus finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen.

  • Cloud Run

    Cloud Run enthält einen Sicherheitsbereich (Vorschau), in dem Sie Informationen zur Sicherheit der Softwarelieferkette wie Informationen zur Compliance der SLSA-Build-Ebene, zur Build-Herkunft und zu Sicherheitslücken in ausgeführten Diensten sehen. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Bereich „Cloud Run-Sicherheitsinformationen“ finden Sie unter In Cloud Run bereitstellen und Sicherheitsinformationen ansehen.

Mithilfe von Richtlinien eine Vertrauenskette aufbauen

Die Binärautorisierung trägt zum Aufrechterhaltung, Pflegen und Verifizieren einer Vertrauenskette in Ihrer Softwarelieferkette durch das Erfassen von Attestierungen bei, bei denen es sich um digitale Dokumente handelt, die Images zertifizieren. Eine Attestierung gibt an, dass das verknüpfte Image durch Ausführen eines bestimmten, erforderlichen Prozesses erstellt wurde. Basierend auf diesen erfassten Attestierungen hilft die Binärautorisierung dabei, vertrauenswürdige Richtlinien zu definieren, zu prüfen und durchzusetzen. Das Image wird nur bereitgestellt, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Außerdem können Sie festlegen, dass Sie benachrichtigt werden, wenn Richtlinienverstöße erkannt werden. Attestierungen können beispielsweise angeben, dass ein Bild

Sie können die Binärautorisierung mit GKE und Cloud Run verwenden.

Preise

Die folgende Liste verweist auf die Preisinformationen für die Dienste in der Software Delivery Shield-Lösung:

Nächste Schritte