Panoramica di Software Delivery Shield

Software Delivery Shield è una soluzione di gestione della catena di fornitura del software end-to-end completamente gestita. Fornisce un set completo e modulare di funzionalità e strumenti per i prodotti Google Cloud che sviluppatori, DevOps e team di sicurezza possono utilizzare per migliorare il livello di sicurezza della catena di fornitura del software.

Il software Delivery Shield è costituito da:

• Prodotti e funzionalità di Google Cloud che incorporano best practice per la sicurezza per lo sviluppo, la creazione, il test, la scansione, il deployment e l'applicazione dei criteri.
• Dashboard nella console Google Cloud che mostrano informazioni sulla sicurezza su origine, build, artefatti, deployment e runtime. Queste informazioni includono le vulnerabilità negli artefatti della build, la provenienza della build e l'elenco delle dipendenze Software Bill of Materials (SBOM).
• Informazioni che identificano il livello di maturità della sicurezza della catena di fornitura del software utilizzando il framework SLSA (Supply chain Levels for Software Artifacts).

Componenti di Software Delivery Shield

Il seguente diagramma illustra l'interazione tra i diversi servizi di Software Delivery Shield per proteggere la catena di fornitura del software:

Le seguenti sezioni descrivono i prodotti e le funzionalità che fanno parte della soluzione Software Delivery Shield:

Componenti che aiutano a proteggere lo sviluppo

I seguenti componenti di Software Delivery Shield contribuiscono a proteggere il codice sorgente del software:

• Cloud Workstations

  Cloud Workstations fornisce ambienti di sviluppo completamente gestiti su Google Cloud. Consente agli amministratori IT e della sicurezza di eseguire facilmente il provisioning, la scalabilità, la gestione e la protezione dei propri ambienti di sviluppo e consente agli sviluppatori di accedere agli ambienti di sviluppo con configurazioni coerenti e strumenti personalizzabili.

  Cloud Workstations favorisce lo spostamento della sicurezza migliorando la strategia di sicurezza dei tuoi ambienti di sviluppo delle applicazioni. Include funzionalità di sicurezza come Controlli di servizio VPC, Ingresso privato o in uscita, Aggiornamento forzato delle immagini e Criteri di accesso a Identity and Access Management. Per ulteriori informazioni, consulta la documentazione di Cloud Workstations.

• Protezione del codice source protect Cloud Code (anteprima)

  Cloud Code fornisce supporto per l'IDE per creare, eseguire il deployment e integrare le applicazioni con Google Cloud. Consente agli sviluppatori di creare e personalizzare una nuova applicazione da modelli di esempio ed eseguire l'applicazione completata. Source protect di Cloud Code offre agli sviluppatori un feedback in tempo reale sulla sicurezza, ad esempio l'identificazione delle dipendenze vulnerabili e la segnalazione delle licenze, mentre lavorano nei loro IDE. Fornisce un feedback rapido e utile che consente agli sviluppatori di apportare correzioni al codice all'inizio del processo di sviluppo del software.

  Disponibilità della funzionalità: source protect di Cloud Code non è disponibile per l'accesso pubblico. Per accedere a questa funzionalità, consulta la pagina di richiesta di accesso.

Componenti che aiutano a proteggere la fornitura del software

Proteggere l'offerta del software (elementi di build e dipendenze delle applicazioni) è un passaggio fondamentale per il miglioramento della sicurezza della catena di fornitura del software. L'uso pervasivo del software open source rende questo problema particolarmente impegnativo.

I seguenti componenti di Software Delivery Shield contribuiscono a proteggere gli artefatti delle build e le dipendenze delle applicazioni:

• ASS assicurati

  Il servizio Assured OSS consente di accedere ai pacchetti OSS e di incorporarli che sono stati verificati e testati da Google. Fornisce pacchetti Java e Python creati utilizzando le pipeline sicure di Google. Questi pacchetti vengono sottoposti regolarmente a scansione, analizzati e testati per rilevare eventuali vulnerabilità. Per ulteriori informazioni, consulta la documentazione del software open source Assured.

• Artifact Registry e Artifact Analysis

  Artifact Registry consente di archiviare, proteggere e gestire gli artefatti della build, mentre Artifact Analysis rileva in modo proattivo le vulnerabilità per gli artefatti in Artifact Registry. Artifact Registry fornisce le seguenti funzionalità per migliorare la posizione di sicurezza della catena di fornitura del software:

  • Artifact Analysis fornisce analisi on demand o scansione automatica integrata per immagini container di base e pacchetti di linguaggio nei container.
  • Artifact Analysis consente di generare una distinta base del materiale (SBOM) e caricare le istruzioni di vulnerabilità VX(Expulitability Exploitability eXchange) per le immagini in Artifact Registry.
  • Artifact Analysis fornisce un'analisi autonoma che identifica le vulnerabilità esistenti e le nuove vulnerabilità nelle dipendenze open source utilizzate dagli artefatti Maven (anteprima). La scansione viene eseguita ogni volta che esegui il push di un progetto Java in Artifact Registry. Dopo la scansione iniziale, Artifact Analysis monitora continuamente i metadati per rilevare le immagini scansionate in Artifact Registry e rilevare eventuali vulnerabilità.
  • Artifact Registry supporta i repository remoti (anteprima) e i repository virtuali (anteprima) per i pacchetti Java. Un repository remoto funge da proxy di memorizzazione nella cache per le dipendenze da Maven Central, il che riduce i tempi di download, migliora la disponibilità dei pacchetti e include l'analisi delle vulnerabilità, se abilitata. I repository virtuali consolidano i repository con lo stesso formato dietro un singolo endpoint e consentono di controllare l'ordine di ricerca nei repository upstream. Puoi dare la priorità ai pacchetti privati, in modo da ridurre il rischio di attacchi della dipendenza da dipendenza.

Componenti che aiutano a proteggere la pipeline CI/CD

Gli utenti malintenzionati possono attaccare le catene di fornitura del software compromettendo le linee di distribuzione CI/CD. I seguenti componenti di Software Delivery Shield contribuiscono a proteggere la pipeline CI/CD:

• Cloud Build

  Cloud Build esegue le build sull'infrastruttura Google Cloud. Offre funzionalità di sicurezza come autorizzazioni IAM granulari, Controlli di servizio VPC e ambienti di build isolati e temporanei. Inoltre, fornisce le seguenti funzionalità per migliorare l'assetto di sicurezza della catena di fornitura del software:

  • Supporta build SLSA livello 3 per le immagini container.
  • Genera provenienza della build autenticata e non vendibile per le applicazioni containerizzate.
  • Mostra insight sulla sicurezza per le applicazioni create. Ad esempio:
    • il livello di build SLSA, che identifica il livello di maturità del processo di compilazione del software in conformità con la specifica SLSA.
    • Vulnerabilità negli artefatti della build.
    • Provenienza della build, ovvero una raccolta di metadati verificabili relativi a una build. Include dettagli come i digest delle immagini create, le posizioni di origine di input, la toolchain di build, i passaggi di build e la durata della build.

  Per istruzioni sulla visualizzazione degli insight sulla sicurezza per le applicazioni create, consulta Creare un'applicazione e visualizzare gli insight sulla sicurezza.

• Cloud Deploy

  Cloud Deploy automatizza la distribuzione delle applicazioni in una serie di ambienti di destinazione in una sequenza definita. Supporta la distribuzione continua direttamente a Google Kubernetes Engine, Anthos e Cloud Run, con approvazioni e rollback con un solo clic, sicurezza e controllo aziendali, nonché metriche di distribuzione integrate. Inoltre, mostra insight di sicurezza per le applicazioni di cui è stato eseguito il deployment.

Componenti che aiutano a proteggere le applicazioni in produzione

GKE e Cloud Run aiutano a proteggere la strategia di sicurezza dei tuoi ambienti di runtime. Entrambe sono dotate di funzionalità di sicurezza per proteggere le applicazioni in esecuzione.

• GKE

  GKE può valutare la tua strategia di sicurezza dei container e fornire linee guida attive sulle impostazioni del cluster, sulla configurazione dei carichi di lavoro e sulle vulnerabilità. Include la dashboard sulla strategia di sicurezza, che analizza i tuoi cluster e carichi di lavoro GKE per fornirti consigli attuati e affidabili per migliorare la tua strategia di sicurezza. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nella dashboard della strategia di sicurezza di GKE, consulta Eseguire il deployment su GKE e visualizzare gli insight sulla sicurezza.

• Cloud Run

  Cloud Run contiene un riquadro di sicurezza che mostra gli insight sulla sicurezza della catena di fornitura del software, ad esempio le informazioni sulla conformità del livello di build SLSA, la provenienza della build e le vulnerabilità rilevate nei servizi in esecuzione. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nel riquadro Approfondimenti sulla sicurezza di Cloud Run, vedi Eseguire il deployment su Cloud Run e visualizzare gli insight sulla sicurezza.

Crea una catena di fiducia mediante i criteri

Autorizzazione binaria consente di stabilire, gestire e verificare una catena di attendibilità lungo la catena di fornitura del software mediante la raccolta di attese, ovvero documenti digitali che certificano le immagini. Un'attestazione indica che l'immagine associata è stata creata eseguendo correttamente un processo specifico obbligatorio. In base a queste attestazioni raccolte, Autorizzazione binaria consente di definire, verificare e applicare i criteri basati sul trust. Questo assicura che il deployment dell'immagine venga eseguito solo quando gli attestati soddisfano i criteri della tua organizzazione e può anche essere impostato per avvisarti in caso di violazioni dei criteri. Ad esempio, le attestazioni possono indicare che un'immagine è:

• Creato da Cloud Build.
• Non contiene vulnerabilità al di sopra di una gravità specificata. Se esistono vulnerabilità specifiche che non si applicano alle tue applicazioni, puoi aggiungerle a una lista consentita.

Puoi utilizzare Autorizzazione binaria con GKE e Cloud Run.

Prezzi

Il seguente elenco rimanda alle informazioni sui prezzi dei servizi nella soluzione Software Delivery Shield:

• Cloud Workstations
• Cloud Code: disponibile per tutti i clienti Google Cloud senza costi aggiuntivi.
• Contatta il team di vendita per informazioni sui prezzi.
• Artifact Registry
• Analisi degli artefatti
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Autorizzazione binaria

Passaggi successivi

• Scopri come creare applicazioni e visualizzare insight sulla sicurezza.
• Scopri come eseguire il deployment su Cloud Run e visualizzare gli insight sulla sicurezza.
• Scopri come eseguire il deployment su GKE e visualizzare gli insight sulla sicurezza.