Descripción general de Software Delivery Shield

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Software Delivery Shield es una solución de seguridad de cadena de suministro de software de extremo a extremo completamente administrada. Proporciona un conjunto integral y modular de funciones y herramientas en los servicios de Google Cloud que los desarrolladores, los equipos de seguridad y DevOps pueden usar para mejorar la posición de seguridad de la cadena de suministro de software.

Software Delivery Shield consta de lo siguiente:

  • Productos y funciones de Google Cloud que incorporan prácticas recomendadas de seguridad para el desarrollo, la compilación, la prueba, el análisis, la implementación y la aplicación de políticas
  • Paneles en Google Cloud Console que muestran información de seguridad sobre las fuentes, las compilaciones, los artefactos, las implementaciones y el entorno de ejecución. Esta información incluye las vulnerabilidades en los artefactos de compilación, la procedencia de la compilación y la lista de dependencias de la Lista de materiales (SBOM) de software.
  • Información que identifica el nivel de madurez de la seguridad de la cadena de suministro de software mediante el framework de niveles de la cadena de suministro para artefactos de software (SLSA)

Componentes de Software Delivery Shield

En el siguiente diagrama, se ilustra cómo los diferentes servicios de Software Delivery Shield funcionan en conjunto para proteger la cadena de suministro de software:

Un diagrama que muestra los componentes de Software Delivery Shield

En las siguientes secciones, se explican los productos y las funciones que forman parte de la solución de Software Delivery Shield:

Componentes que ayudan a proteger el desarrollo

Los siguientes componentes de Software Delivery Shield ayudan a proteger el código fuente de software:

  • Cloud Workstations (vista previa)

    Cloud Workstations proporciona entornos de desarrollo completamente administrados en Google Cloud. Permite a los administradores de TI y de seguridad aprovisionar, escalar, administrar y proteger fácilmente los entornos de desarrollo, y permite a los desarrolladores acceder a los entornos de desarrollo con configuraciones coherentes y herramientas personalizables.

    Cloud Workstations ayuda a modificar la seguridad a la izquierda, ya que mejora la posición de seguridad de los entornos de desarrollo de tu aplicación. Tiene características de seguridad como los Controles del servicio de VPC, entrada o salida privadas, actualización de imagen forzada y políticas de acceso de Identity and Access Management. Para obtener más información, consulta la documentación de Cloud Workstations.

  • Protección de fuente de Cloud Code (vista previa)

    Cloud Code proporciona compatibilidad con IDE para crear, implementar y, también, integrar aplicaciones en Google Cloud. Permite a los desarrolladores crear y personalizar una aplicación nueva a partir de plantillas de muestra y ejecutar la aplicación terminada. La protección de la fuente de Cloud Code les brinda a los desarrolladores comentarios de seguridad en tiempo real, como la identificación de dependencias vulnerables y los informes de licencia, mientras trabajan en sus IDE. Proporciona comentarios rápidos y prácticos que les permiten a los desarrolladores realizar correcciones en su código al comienzo del proceso de desarrollo de software.

    Disponibilidad de funciones: La protección de la fuente de Cloud Code no está disponible para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.

Componentes que ayudan a proteger la oferta de software

Proteger la fuente de software (artefactos de compilación y dependencias de la aplicación) es un paso fundamental para mejorar la seguridad de la cadena de suministro de software. El uso generalizado del software de código abierto hace que este problema sea particularmente difícil.

Los siguientes componentes de Software Delivery Shield ayudan a proteger los artefactos de compilación y las dependencias de la aplicación:

  • Assured OSS (Preview)

    El servicio de OSS garantizado te permite acceder y, además, incorporar los paquetes de OSS que Google verificó y probó. Proporciona más de 250 paquetes en Java y Python. Estos paquetes se compilan mediante canalizaciones seguras de Google y se analizan, analizan y prueban de forma periódica para detectar vulnerabilidades. Para obtener más información, consulta la documentación de software de código abierto de Assured.

  • Artifact Registry y Container Analysis

    Artifact Registry te permite almacenar, proteger y administrar tus artefactos de compilación, y Container Analysis detecta vulnerabilidades para los artefactos de Artifact Registry. Artifact Registry proporciona las siguientes funciones para mejorar la posición de seguridad de la cadena de suministro de software:

    • Container Analysis proporciona análisis integrado o análisis automatizado para imágenes base de contenedores, paquetes Maven y Go en contenedores, y paquetes Maven no contenedores.
    • Container Analysis proporciona análisis independientes (vista previa) que identifican vulnerabilidades existentes y vulnerabilidades nuevas dentro de las dependencias de código abierto que usan tus artefactos de Maven. El análisis se lleva a cabo cada vez que envías un proyecto de Java a Artifact Registry. Después del análisis inicial, Container Analysis supervisa los metadatos de las imágenes analizadas de manera continua en Artifact Registry para detectar vulnerabilidades nuevas.
      • Disponibilidad de la función Esta función no está disponible para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.
    • Artifact Registry admite repositorios remotos (vista previa) y repositorios virtuales (vista previa) para paquetes de Java. Un repositorio remoto actúa como un proxy de almacenamiento en caché para las dependencias de Maven Central, lo que reduce el tiempo de descarga, mejora la disponibilidad del paquete y, además, incluye el análisis de vulnerabilidades si el análisis está habilitado. Los repositorios virtuales consolidan los repositorios del mismo formato detrás de un solo extremo y te permiten controlar el orden de búsqueda en los repositorios ascendentes. Puedes priorizar tus paquetes privados, lo que reduce el riesgo de ataques de confusión de dependencia.
      • Disponibilidad de funciones Estas funciones no están disponibles para el acceso público. Para obtener acceso a estas funciones, consulta la página de solicitud de acceso.

Componentes que ayudan a proteger la canalización de CI/CD

Las personas que actúan de mala fe pueden atacar las cadenas de suministro de software si comprometen las canalizaciones de CI/CD. Los siguientes componentes de Software Delivery Shield ayudan a proteger la canalización de IC/EC:

  • Cloud Build

    Cloud Build ejecuta las compilaciones en la infraestructura de Google Cloud. Ofrece características de seguridad como permisos de IAM detallados, Controles del servicio de VPC y entornos de compilación aislados y efímeros. Además, proporciona las siguientes funciones para mejorar la posición de seguridad de la cadena de suministro de software:

    • Admite compilaciones de SLSA de nivel 3 para imágenes de contenedor.
    • Genera fuentes de compilación autenticadas y no falsificables para aplicaciones en contenedores.
    • Muestra estadísticas de seguridad para aplicaciones compiladas (vista previa). Incluye lo siguiente:
      • el nivel de compilación de SLSA, que identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación SLSA.
      • Vulnerabilidades en artefactos de compilación
      • Procedencia de la compilación, que es una colección de metadatos verificables sobre una compilación Incluye detalles como los resúmenes de las imágenes compiladas, las ubicaciones de la fuente de entrada, la cadena de herramientas de compilación, los pasos y la duración de la compilación.

    Si deseas obtener instrucciones para ver las estadísticas de seguridad de las aplicaciones compiladas, consulta Compila una aplicación y consulta las estadísticas de seguridad.

  • Google Cloud Deploy

    Google Cloud Deploy automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una secuencia definida. Admite la entrega continua directamente a Google Kubernetes Engine, Anthos y Cloud Run, con aprobaciones y reversiones con un clic, seguridad y auditoría empresarial, y métricas de entrega integradas.

Componentes que ayudan a proteger las aplicaciones en producción

GKE y Cloud Run ayudan a proteger la posición de seguridad de los entornos de ejecución. Ambos incluyen funciones de seguridad para proteger tus aplicaciones durante el tiempo de ejecución.

  • GKE

    GKE puede evaluar tu posición de seguridad de contenedores y proporcionar una orientación activa sobre la configuración del clúster, la carga de trabajo y las vulnerabilidades. Incluye el panel de posición de seguridad (vista previa) que analiza tus clústeres y cargas de trabajo de GKE para proporcionarte recomendaciones bien definidas y prácticas a fin de mejorar tu posición de seguridad. Si deseas obtener instrucciones para ver las estadísticas de seguridad en el panel de postura de seguridad de GKE, consulta Implementa en GKE y consulta las estadísticas de seguridad.

  • Cloud Run

    Cloud Run contiene un panel de seguridad (vista previa) que muestra estadísticas de seguridad de la cadena de suministro de software, como la información de cumplimiento de nivel de compilación de SLSA, la procedencia de la compilación y las vulnerabilidades que se encuentran en los servicios en ejecución. Si deseas obtener instrucciones para ver las estadísticas de seguridad en el panel de estadísticas de seguridad de Cloud Run, consulta Implementa en Cloud Run y consulta las estadísticas de seguridad.

Desarrolla una cadena de confianza mediante políticas

La autorización binaria ayuda a establecer, mantener y verificar una cadena de confianza a lo largo de la cadena de suministro de software mediante la recopilación de certificaciones, que son documentos digitales que certifican imágenes. Una certificación significa que la imagen asociada se compiló mediante la ejecución correcta de un proceso específico obligatorio. En función de estas certificaciones recopiladas, la autorización binaria ayuda a definir, verificar y aplicar políticas basadas en la confianza. Se asegura de que la imagen solo se implemente cuando las certificaciones cumplan con la política de tu organización y también se puede configurar para que te alerte si se encuentran incumplimientos de política. Por ejemplo, los testimonios pueden indicar que una imagen tiene las siguientes características:

Puedes usar la autorización binaria con GKE y Cloud Run.

Precios

En la siguiente lista, se apunta la información de precios para los servicios en la solución de Software Delivery Shield:

¿Qué sigue?