Visão geral do Software Delivery Shield

O Software Delivery Shield é uma solução de segurança de ponta a ponta da cadeia de suprimentos de software totalmente gerenciada. Ele fornece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, DevOps e equipes de segurança podem usar para melhorar a postura de segurança da cadeia de suprimentos de software.

O Software Delivery Shield consiste em:

• Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
• Painéis no console do Google Cloud com informações de segurança sobre origem, builds, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência do build e lista de dependências da Lista de materiais de software (SBOM, na sigla em inglês).
• Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework Níveis da cadeia de suprimentos para artefatos de software (SLSA).

Componentes do Software Delivery Shield

O diagrama a seguir ilustra como os diferentes serviços no Software Delivery Shield funcionam juntos para proteger sua cadeia de suprimentos de software:

As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:

Componentes que ajudam a proteger o desenvolvimento

Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:

• Cloud Workstations

  O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Com ele, os administradores de TI e segurança podem provisionar, escalonar, gerenciar e proteger os ambientes de desenvolvimento. Além disso, os desenvolvedores também podem acessar esses ambientes com configurações consistentes e ferramentas personalizáveis.

  O Cloud Workstations ajuda a mudar a segurança ao melhorar a postura de segurança dos seus ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particular, atualização forçada de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a documentação do Cloud Workstations.

• Proteção source protect Cloud Code (pré-lançamento)

  O Cloud Code oferece suporte a IDE para criar, implantar e integrar aplicativos ao Google Cloud. Com ele, os desenvolvedores podem criar e personalizar um novo aplicativo usando modelos de amostra e executar o aplicativo finalizado. Source protect do Cloud Code oferece aos desenvolvedores feedback de segurança em tempo real, como a identificação de dependências vulneráveis e a geração de relatórios de licenças, enquanto trabalham nos ambientes de desenvolvimento integrado. Ele fornece feedback rápido e prático que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.

  Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para acessar esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o fornecimento de softwares

Proteger o suprimento de software (artefatos de build e dependências de aplicativos) é uma etapa fundamental para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de softwares de código aberto torna esse problema particularmente desafiador.

Os seguintes componentes do Software Delivery Shield ajudam a proteger os artefatos de build e as dependências do aplicativo:

• OSS Assured

  O serviço Assured OSS permite acessar e incorporar os pacotes OSS que foram verificados e testados pelo Google. Ela fornece pacotes Java e Python criados usando os pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto garantido.

• Artifact Registry e Artifact Analysis

  O Artifact Registry permite armazenar, proteger e gerenciar artefatos de build, e o Artifact Analysis detecta vulnerabilidades de artefatos no Artifact Registry de forma proativa. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:

  • O Artifact Analysis oferece verificação integrada sob demanda ou automática para imagens de contêiner base e pacotes de linguagem em contêineres.
  • O Artifact Analysis permite gerar uma lista de materiais de software (SBOM, na sigla em inglês) e fazer upload de instruções de Vulnerability Exploitability eXchange (Vulnerability, em inglês) para as imagens no Artifact Registry.
  • O Artifact Analysis oferece verificação autônoma que identifica vulnerabilidades atuais e novas vulnerabilidades nas dependências de código aberto usadas pelos artefatos do Maven (prévia). A verificação ocorre sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry em busca de novas vulnerabilidades.
  • O Artifact Registry oferece suporte a repositórios remotos (pré-lançamento) e repositórios virtuais (pré-lançamento) para pacotes Java. Um repositório remoto atua como um proxy de armazenamento em cache para dependências do Maven Central, o que reduz o tempo de download, melhora a disponibilidade do pacote e inclui verificação de vulnerabilidades se ela estiver ativada. Os repositórios virtuais consolidam repositórios do mesmo formato em um único endpoint e permitem controlar a ordem de pesquisa em repositórios upstream. É possível priorizar seus pacotes privados, o que reduz o risco de ataques de confusão de dependência.

Componentes que ajudam a proteger o pipeline de CI/CD

Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo os pipelines de CI/CD. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:

• Cloud Build

  O Cloud Build executa os builds na infraestrutura do Google Cloud. Ele oferece recursos de segurança, como permissões do IAM granulares, VPC Service Controls e ambientes de criação isolados e temporários. Além disso, ele fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:

  • Ele é compatível com builds do SLSA nível 3 para imagens de contêiner.
  • Ele gera uma procedência de compilação autenticada e não falsificável para aplicativos conteinerizados.
  • Ela exibe insights de segurança de aplicativos criados. Isso inclui o seguinte:
    • O nível de criação SLSA, que identifica o nível de maturidade do processo de criação do software de acordo com a especificação SLSA.
    • Vulnerabilidades em artefatos de compilação.
    • A procedência da versão, que é uma coleção de metadados verificáveis sobre ela. Ele inclui detalhes como os resumos das imagens criadas, os locais das origens de entrada, o conjunto de ferramentas, as etapas e a duração da versão.

  Para instruções sobre como visualizar insights de segurança de aplicativos criados, consulte Criar um aplicativo e ver insights de segurança.

• Cloud Deploy

  O Cloud Deploy automatiza a entrega de aplicativos a uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e o Cloud Run, com aprovações e reversões com um clique, segurança e auditoria empresarial, além de métricas de entrega integradas. Além disso, exibe insights de segurança para aplicativos implantados.

Componentes que ajudam a proteger aplicativos em produção

O GKE e o Cloud Run ajudam a proteger a postura de segurança dos ambientes de execução. Ambos vêm com recursos de segurança para proteger os aplicativos no ambiente de execução.

• GKE

  O GKE pode avaliar a postura de segurança do seu contêiner e fornecer orientação ativa sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações opinativas e úteis para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e ver os insights de segurança.

• Cloud Run

  O Cloud Run contém um painel de segurança que exibe insights de segurança da cadeia de suprimentos de software, como informações de conformidade no nível da versão SLSA, procedência da versão e vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel de insights de segurança do Cloud Run, consulte Implantar no Cloud Run e ver insights de segurança.

Crie uma cadeia de confiança usando políticas

A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança em toda a cadeia de suprimentos de software coletando attestations, que são documentos digitais que certificam imagens. Um atestado significa que a imagem associada foi criada executando com êxito um processo específico e necessário. Com base nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada somente quando os atestados atenderem à política da organização e também pode ser configurado para alertar você se alguma violação da política for encontrada. Por exemplo, os atestados podem indicar que uma imagem é:

• Criado pelo Cloud Build.
• Não contém vulnerabilidades superiores a uma gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, adicione-as a uma lista de permissões.

É possível usar a autorização binária com o GKE e o Cloud Run.

Preços

A lista a seguir mostra as informações de preços dos serviços na solução Software Delivery Shield:

• Cloud Workstations
• Cloud Code: disponível para todos os clientes do Google Cloud sem nenhum custo.
• Assured OSS: entre em contato com a equipe de vendas para saber mais sobre preços.
• Artifact Registry
• Artifact Analysis
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Autorização binária

A seguir

• Saiba como criar aplicativos e ver insights de segurança.
• Saiba como implantar no Cloud Run e ver insights de segurança.
• Saiba como implantar no GKE e ver insights de segurança.