O Software Delivery Shield é uma solução de segurança de ponta a ponta da cadeia de suprimentos de software totalmente gerenciada. Ele fornece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e equipes de segurança podem usar para melhorar a postura de segurança da cadeia de suprimentos de software.
O Software Delivery Shield consiste em:
- Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
- Painéis no console do Google Cloud com informações de segurança sobre origem, builds, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência do build e lista de dependências da Lista de materiais de software (SBOM, na sigla em inglês).
- Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework Níveis da cadeia de suprimentos para artefatos de software (SLSA).
Componentes do Software Delivery Shield
O diagrama a seguir ilustra como os diferentes serviços no Software Delivery Shield funcionam juntos para proteger sua cadeia de suprimentos de software:
As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:
Componentes que ajudam a proteger o desenvolvimento
Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:
Cloud Workstations
O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Com ele, os administradores de TI e segurança podem provisionar, escalonar, gerenciar e proteger os ambientes de desenvolvimento. Além disso, os desenvolvedores também podem acessar esses ambientes com configurações consistentes e ferramentas personalizáveis.
O Cloud Workstations ajuda a mudar a segurança ao melhorar a postura de segurança dos seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particular, atualização forçada de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a documentação do Cloud Workstations.
Proteção source protect Cloud Code (pré-lançamento)
O Cloud Code oferece suporte a IDE para criar, implantar e integrar aplicativos ao Google Cloud. Com ele, os desenvolvedores podem criar e personalizar um novo aplicativo usando modelos de amostra e executar o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de dependências vulneráveis e a geração de relatórios de licenças, enquanto trabalham nos ambientes de desenvolvimento integrado. Ele fornece feedback rápido e prático que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.
Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para acessar esse recurso, consulte a página de solicitação de acesso.
Componentes que ajudam a proteger o fornecimento de softwares
Proteger o suprimento de software (artefatos de build e dependências de aplicativos) é uma etapa fundamental para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de softwares de código aberto torna esse problema particularmente desafiador.
Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e as dependências do aplicativo:
OSS Assured
O serviço Assured OSS permite acessar e incorporar os pacotes OSS que foram verificados e testados pelo Google. Ela fornece pacotes Java e Python criados usando os pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto garantido.
Artifact Registry e Artifact Analysis
O Artifact Registry permite armazenar, proteger e gerenciar artefatos de build, e o Artifact Analysis detecta vulnerabilidades de artefatos no Artifact Registry de forma proativa. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- O Artifact Analysis oferece verificação integrada sob demanda ou automática para imagens de contêiner base e pacotes de linguagem em contêineres.
- O Artifact Analysis permite gerar uma lista de materiais de software (SBOM, na sigla em inglês) e fazer upload de instruções de Vulnerability Exploitability eXchange (Vulnerability, em inglês) para as imagens no Artifact Registry.
- O Artifact Analysis oferece verificação autônoma que identifica vulnerabilidades atuais e novas vulnerabilidades nas dependências de código aberto usadas pelos artefatos do Maven (prévia). A verificação ocorre sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry em busca de novas vulnerabilidades.
- O Artifact Registry oferece suporte a repositórios remotos (pré-lançamento) e repositórios virtuais (pré-lançamento) para pacotes Java. Um repositório remoto atua como um proxy de armazenamento em cache para dependências do Maven Central, o que reduz o tempo de download, melhora a disponibilidade do pacote e inclui verificação de vulnerabilidades se ela estiver ativada. Os repositórios virtuais consolidam repositórios do mesmo formato em um único endpoint e permitem controlar a ordem de pesquisa em repositórios upstream. É possível priorizar seus pacotes privados, o que reduz o risco de ataques de confusão de dependência.
Componentes que ajudam a proteger o pipeline de CI/CD
Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo os pipelines de CI/CD. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:
Cloud Build
O Cloud Build executa os builds na infraestrutura do Google Cloud. Ele oferece recursos de segurança, como permissões do IAM granulares, VPC Service Controls e ambientes de criação isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:
- Ele é compatível com builds do SLSA nível 3 para imagens de contêiner.
- Ele gera uma procedência de compilação autenticada e não falsificável para aplicativos conteinerizados.
- Ela exibe insights de segurança
de aplicativos criados. Isso inclui o seguinte:
- O nível de criação SLSA, que identifica o nível de maturidade do processo de criação do software de acordo com a especificação SLSA.
- Vulnerabilidades em artefatos de compilação.
- A procedência da versão, que é uma coleção de metadados verificáveis sobre ela. Ele inclui detalhes como os resumos das imagens criadas, os locais das origens de entrada, o conjunto de ferramentas, as etapas e a duração da versão.
Para instruções sobre como visualizar insights de segurança de aplicativos criados, consulte Criar um aplicativo e ver insights de segurança.
Cloud Deploy
O Cloud Deploy automatiza a entrega de aplicativos a uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e o Cloud Run, com aprovações e reversões com um clique, segurança e auditoria empresarial, além de métricas de entrega integradas. Além disso, exibe insights de segurança para aplicativos implantados.
Componentes que ajudam a proteger aplicativos em produção
O GKE e o Cloud Run ajudam a proteger a postura de segurança dos ambientes de execução. Ambos vêm com recursos de segurança para proteger os aplicativos no ambiente de execução.
GKE
O GKE pode avaliar a postura de segurança do seu contêiner e fornecer orientação ativa sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações opinativas e úteis para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e ver os insights de segurança.
Cloud Run
O Cloud Run contém um painel de segurança que exibe insights de segurança da cadeia de suprimentos de software, como informações de conformidade no nível da versão SLSA, procedência da versão e vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel de insights de segurança do Cloud Run, consulte Implantar no Cloud Run e ver insights de segurança.
Crie uma cadeia de confiança usando políticas
A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança em toda a cadeia de suprimentos de software coletando attestations, que são documentos digitais que certificam imagens. Um atestado significa que a imagem associada foi criada executando com êxito um processo específico e necessário. Com base nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada somente quando os atestados atenderem à política da organização e também pode ser configurado para alertar você se alguma violação da política for encontrada. Por exemplo, os atestados podem indicar que uma imagem é:
- Criado pelo Cloud Build.
- Não contém vulnerabilidades superiores a uma gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, adicione-as a uma lista de permissões.
É possível usar a autorização binária com o GKE e o Cloud Run.
Preços
A lista a seguir mostra as informações de preços dos serviços na solução Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponível para todos os clientes do Google Cloud sem nenhum custo.
- Assured OSS: entre em contato com a equipe de vendas para saber mais sobre preços.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorização binária
A seguir
- Saiba como criar aplicativos e ver insights de segurança.
- Saiba como implantar no Cloud Run e ver insights de segurança.
- Saiba como implantar no GKE e ver insights de segurança.