Ringkasan Perlindungan Pengiriman Software

Perlindungan Pengiriman Software adalah solusi keamanan supply chain software menyeluruh yang terkelola sepenuhnya. Solusi ini menyediakan serangkaian kemampuan dan alat yang komprehensif serta modular di seluruh produk Google Cloud yang dapat digunakan oleh developer, DevOps, dan tim keamanan untuk meningkatkan postur keamanan supply chain software.

Perlindungan Pengiriman Software terdiri dari:

• Produk dan fitur Google Cloud yang menggabungkan praktik terbaik keamanan untuk pengembangan, build, pengujian, pemindaian, deployment, dan penegakan kebijakan.
• Dasbor di Google Cloud Console yang menampilkan informasi keamanan tentang sumber, build, artefak, deployment, dan runtime. Informasi ini mencakup kerentanan dalam artefak build, provenance build, dan daftar dependensi Software Bill of Materials (SBOM).
• Informasi yang mengidentifikasi tingkat kematangan keamanan supply chain software Anda menggunakan framework Supply Chain Levels for Software Artifacts (SLSA).

Komponen Perlindungan Pengiriman Software

Diagram berikut menggambarkan cara berbagai layanan dalam Software Delivery Shield bekerja sama untuk melindungi supply chain software Anda:

Bagian berikut menjelaskan produk dan fitur yang merupakan bagian dari solusi Perlindungan Pengiriman Software:

Komponen yang membantu mengamankan pengembangan

Komponen Perlindungan Pengiriman Software berikut membantu melindungi kode sumber software:

• Cloud Workstations

  Cloud Workstations menyediakan lingkungan pengembangan yang terkelola sepenuhnya di Google Cloud. Dengan API ini, admin IT dan keamanan dapat menyediakan, menskalakan, mengelola, dan mengamankan lingkungan pengembangan mereka, serta memungkinkan developer mengakses lingkungan pengembangan dengan konfigurasi yang konsisten dan alat yang dapat disesuaikan.

  Cloud Workstations membantu mengubah keamanan dengan meningkatkan postur keamanan lingkungan pengembangan aplikasi Anda. Layanan ini memiliki fitur keamanan seperti VPC Service Controls, traffic masuk atau keluar pribadi, update image paksa, dan kebijakan akses Identity and Access Management. Untuk informasi selengkapnya, lihat dokumentasi Cloud Workstations.

• Perlindungan sumber Cloud Code (Pratinjau)

  Cloud Code menyediakan dukungan IDE untuk membuat, men-deploy, dan mengintegrasikan aplikasi dengan Google Cloud. Library ini memungkinkan developer membuat dan menyesuaikan aplikasi baru dari contoh template dan menjalankan aplikasi yang sudah selesai. Cloud Code source melindungi memberi developer masukan keamanan real-time, seperti identifikasi dependensi yang rentan dan pelaporan lisensi, saat mereka bekerja di IDE. Alat ini memberikan masukan cepat dan dapat ditindaklanjuti yang memungkinkan developer memperbaiki kode mereka di awal proses pengembangan software.

  Ketersediaan fitur: Cloud Code source Protect tidak tersedia untuk akses publik. Untuk mendapatkan akses ke fitur ini, lihat halaman permintaan akses.

Komponen yang membantu mengamankan pasokan software

Mengamankan pasokan software — artefak build dan dependensi aplikasi — merupakan langkah penting dalam meningkatkan keamanan supply chain software. Penggunaan software open source yang meluas membuat masalah ini sangat menantang.

Komponen Software Delivery Shield berikut membantu melindungi artefak build dan dependensi aplikasi:

• Assured OSS

  Layanan Assured OSS memungkinkan Anda mengakses dan menggabungkan paket OSS yang telah diverifikasi dan diuji oleh Google. Solusi ini menyediakan paket Java dan Python yang di-build menggunakan pipeline aman Google. Paket-paket ini dipindai, dianalisis, dan diuji secara rutin untuk menemukan kerentanan. Untuk informasi selengkapnya, lihat dokumentasi Assured Open Source Software.

• Artifact Registry dan Artifact Analysis

  Dengan Artifact Registry, Anda dapat menyimpan, mengamankan, dan mengelola artefak build, dan Artifact Analysis secara proaktif mendeteksi kerentanan untuk artefak di Artifact Registry. Artifact Registry menyediakan fitur berikut untuk meningkatkan postur keamanan supply chain software Anda:

  • Artifact Analysis menyediakan on-demand atau pemindaian otomatis terintegrasi untuk image container dasar dan paket bahasa dalam container.
  • Dengan Artifact Analysis, Anda dapat membuat daftar material software (SBOM) dan mengupload pernyataan Kerentanan Eksploitabilitas eXchange (VEX) untuk image di Artifact Registry.
  • Artifact Analysis menyediakan pemindaian mandiri yang mengidentifikasi kerentanan yang ada dan kerentanan baru dalam dependensi open source yang digunakan oleh artefak Maven Anda (Pratinjau). Pemindaian dilakukan setiap kali Anda mengirim project Java ke Artifact Registry. Setelah pemindaian awal, Artifact Analysis akan terus memantau metadata untuk image yang dipindai di Artifact Registry, untuk menemukan kerentanan baru.
  • Artifact Registry mendukung repositori jarak jauh (Pratinjau) dan repositori virtual (Pratinjau) untuk paket Java. Repositori jarak jauh berfungsi sebagai proxy caching untuk dependensi dari Maven Central, yang mengurangi waktu download, meningkatkan ketersediaan paket, dan menyertakan pemindaian kerentanan jika pemindaian diaktifkan. Repositori virtual menggabungkan repositori dengan format yang sama di belakang endpoint tunggal dan memungkinkan Anda mengontrol urutan penelusuran di seluruh repositori upstream. Anda dapat memprioritaskan paket pribadi, yang mengurangi risiko serangan kebingungan dependensi.

Komponen yang membantu melindungi pipeline CI/CD

Pihak tidak bertanggung jawab dapat menyerang supply chain software dengan membahayakan pipeline CI/CD. Komponen Software Delivery Shield berikut membantu melindungi pipeline CI/CD:

• Cloud Build

  Cloud Build mengeksekusi build Anda di infrastruktur Google Cloud. Layanan ini menawarkan fitur keamanan seperti izin IAM terperinci, Kontrol Layanan VPC, serta lingkungan build yang terisolasi dan efemeral. Selain itu, software ini menyediakan fitur berikut untuk meningkatkan postur keamanan supply chain software Anda:

  • Solusi ini mendukung build SLSA Level 3 untuk image container.
  • Alat ini menghasilkan build provenance yang diautentikasi dan tidak dapat dipalsukan untuk aplikasi dalam container.
  • Halaman ini menampilkan insight keamanan untuk aplikasi yang dibangun. Hal ini mencakup:
    • level build SLSA, yang mengidentifikasi tingkat kedewasaan proses build software sesuai dengan spesifikasi SLSA.
    • Kerentanan dalam artefak build.
    • Build provenance, yang merupakan kumpulan metadata yang dapat diverifikasi tentang build. Panduan ini berisi detail seperti ringkasan image yang di-build, lokasi sumber input, toolchain build, langkah-langkah build, dan durasi build.

  Guna mengetahui petunjuk tentang cara melihat insight keamanan untuk aplikasi yang di-build, lihat Mem-build aplikasi dan melihat insight keamanan.

• Cloud Deploy

  Cloud Deploy mengotomatiskan pengiriman aplikasi Anda ke serangkaian lingkungan target dalam urutan yang ditentukan. Solusi ini mendukung continuous delivery langsung ke Google Kubernetes Engine, GKE Enterprise, dan Cloud Run, dengan persetujuan dan rollback sekali klik, keamanan dan audit perusahaan, serta metrik pengiriman bawaan. Selain itu, alat ini menampilkan insight keamanan untuk aplikasi yang di-deploy.

Komponen yang membantu melindungi aplikasi dalam produksi

GKE dan Cloud Run membantu mengamankan postur keamanan lingkungan runtime Anda. Keduanya dilengkapi dengan fitur keamanan untuk melindungi aplikasi Anda saat runtime.

• GKE

  GKE dapat menilai postur keamanan container Anda dan memberikan panduan aktif seputar setelan cluster, konfigurasi workload, dan kerentanan. Platform ini mencakup dasbor postur keamanan, yang memindai cluster dan workload GKE guna memberikan rekomendasi yang pasti dan dapat ditindaklanjuti guna meningkatkan postur keamanan Anda. Untuk mendapatkan petunjuk tentang cara melihat insight keamanan di dasbor postur keamanan GKE, lihat Men-deploy di GKE dan melihat insight keamanan.

• Cloud Run

  Cloud Run berisi panel keamanan yang menampilkan insight keamanan supply chain software seperti info kepatuhan tingkat build SLSA, build provenance, dan kerentanan yang ditemukan dalam layanan yang sedang berjalan. Untuk petunjuk tentang cara melihat insight keamanan di panel insight keamanan Cloud Run, lihat Men-deploy di Cloud Run dan melihat insight keamanan.

Membangun rantai kepercayaan melalui kebijakan

Otorisasi Biner membantu membangun, memelihara, dan memverifikasi rantai kepercayaan di sepanjang supply chain software dengan mengumpulkan attestations, yang merupakan dokumen digital yang menjamin gambar. Pengesahan menandakan bahwa image terkait dibuat dengan berhasil menjalankan proses tertentu yang diperlukan. Berdasarkan pengesahan yang dikumpulkan ini, Otorisasi Biner membantu menentukan, memverifikasi, dan menerapkan kebijakan berbasis kepercayaan. Fitur ini memastikan image di-deploy hanya jika pengesahan memenuhi kebijakan organisasi Anda, dan juga dapat ditetapkan untuk memberi tahu Anda jika ditemukan pelanggaran kebijakan. Misalnya, pengesahan dapat menunjukkan bahwa gambar:

• Dibangun oleh Cloud Build.
• Tidak berisi kerentanan yang lebih tinggi dari tingkat keparahan yang ditentukan. Jika ada kerentanan tertentu yang tidak berlaku untuk aplikasi, Anda dapat menambahkannya ke daftar yang diizinkan.

Anda dapat menggunakan Otorisasi Biner dengan GKE dan Cloud Run.

Harga

Daftar berikut mengarah ke informasi harga untuk layanan dalam solusi Perlindungan Pengiriman Software:

• Cloud Workstations
• Cloud Code: Tersedia untuk semua pelanggan Google Cloud tanpa biaya.
• Assured OSS: Hubungi tim penjualan untuk mengetahui informasi harga.
• Artifact Registry
• Analisis Artefak
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Otorisasi Biner

Langkah selanjutnya

• Pelajari cara membangun aplikasi dan melihat insight keamanan.
• Pelajari cara melakukan deployment ke Cloud Run dan melihat insight keamanan.
• Pelajari cara melakukan deployment ke GKE dan melihat insight keamanan.