Visão geral do Software Delivery Shield

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O Software Delivery Shield é uma solução de segurança de cadeia de suprimentos de software totalmente gerenciada e totalmente gerenciada. Ele fornece um conjunto abrangente e modular de recursos e ferramentas em todos os serviços do Google Cloud que as equipes de desenvolvedores, DevOps e segurança podem usar para melhorar a postura de segurança da cadeia de suprimentos de software.

O Software Delivery Shield consiste em:

  • Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
  • Painéis no Console do Google Cloud que exibem informações de segurança sobre origem, versões, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência do build e lista de dependências da Lista de materiais do software (SBOM, na sigla em inglês).
  • Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework Níveis de cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês).

Componentes do Software Delivery Shield

O diagrama a seguir ilustra como os diferentes serviços no Software Delivery Shield funcionam em conjunto para proteger sua cadeia de suprimentos de software:

Um diagrama que mostra os componentes do Software Delivery Shield

As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:

Componentes que ajudam a proteger o desenvolvimento

Os componentes do Software Delivery Shield abaixo ajudam a proteger o código-fonte do software:

  • Estações de trabalho do Cloud (pré-lançamento)

    O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Ele permite que os administradores de TI e segurança provisionem, dimensionem, gerenciem e protejam os próprios ambientes de desenvolvimento com facilidade e que os desenvolvedores acessem esses ambientes com configurações consistentes e ferramentas personalizáveis.

    Cloud Workstations ajudam a mudar a segurança para a esquerda, aprimorando a postura de segurança dos ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particular, atualização forçada de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a documentação do Cloud Workstations.

  • Proteção de origem do Cloud Code (prévia)

    O Cloud Code é compatível com o ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos com o Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo com base em modelos de amostra e o executem. A proteção de origem do Cloud Code fornece aos desenvolvedores feedback de segurança em tempo real, como identificação de dependências vulneráveis e relatórios de licença, enquanto eles trabalham nos ambientes de desenvolvimento integrado. Ela fornece feedback rápido e prático que permite aos desenvolvedores fazer correções no código no início do processo de desenvolvimento de software.

    Disponibilidade de recursos: a proteção de origem do Cloud Code não está disponível para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o software

Proteger a fonte de software, criando artefatos e dependências de aplicativos, é uma etapa essencial para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de software de código aberto torna esse problema particularmente desafiador.

Os componentes do Software Delivery Shield abaixo ajudam a proteger os artefatos de compilação e as dependências do aplicativo:

  • Assus garantido (pré-lançamento)

    O serviço Assured OSS permite acessar e incorporar os pacotes OSS que foram verificados e testados pelo Google. Ele fornece mais de 250 pacotes em Java e Python. Esses pacotes são criados usando pipelines seguros do Google e são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para ver mais informações, consulte a documentação do software de código aberto garantido.

  • Artifact Registry e análise de contêiner

    O Artifact Registry permite armazenar, proteger e gerenciar artefatos de versão, e o Container Analysis detecta vulnerabilidades para artefatos no Artifact Registry de maneira proativa. O Artifact Registry fornece os recursos a seguir para melhorar a postura de segurança da sua cadeia de suprimentos de software:

    • O Container Analysis oferece verificação sob demanda ou automatizada integrada para imagens de contêiner base, pacotes Maven e Go em contêineres e pacotes Maven não conteinerizados.
    • O Container Analysis fornece uma verificação independente (visualização) que identifica as vulnerabilidades atuais e novas dentro das dependências de código aberto usadas pelos artefatos do Maven. A verificação ocorre sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Container Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry para identificar novas vulnerabilidades.
    • O Artifact Registry oferece suporte a repositórios remotos (pré-lançamento) e repositórios virtuais (pré-lançamento) para pacotes Java. Um repositório remoto atua como um proxy de armazenamento em cache para dependências do Maven Central, o que reduz o tempo de download, melhora a disponibilidade do pacote e inclui a verificação de vulnerabilidades, se a verificação estiver ativada. Os repositórios virtuais consolidam repositórios do mesmo formato em um único endpoint e permitem controlar a ordem de pesquisa em repositórios upstream. É possível priorizar seus pacotes particulares, o que reduz o risco de ataques de confusão de dependência.
      • Disponibilidade de recursos: esses recursos não estão disponíveis para acesso público. Para ter acesso a esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o pipeline de CI/CD

Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo os pipelines de CI/CD. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:

  • Cloud Build

    O Cloud Build executa seus builds na infraestrutura do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de criação isolados e efêmeros. Além disso, ele fornece os recursos abaixo para melhorar a postura de segurança da sua cadeia de suprimentos de software:

    • Ele é compatível com os builds SLSA de nível 3 para imagens de contêiner.
    • Ele gera procedência de compilação autenticada e não falsificada para aplicativos conteinerizados.
    • Ele mostra insights de segurança de aplicativos criados (pré-lançamento). Isso inclui o seguinte:
      • o nível de compilação SLSA, que identifica o nível de maturidade do seu processo de compilação de software de acordo com a especificação da SLSA.
      • Vulnerabilidades em artefatos de versão
      • Procedência do build, que é um conjunto de metadados verificáveis sobre um build. Ela inclui detalhes como os resumos das imagens criadas, os locais das fontes de entrada, o conjunto de ferramentas de build, as etapas do build e a duração dele.

    Para instruções sobre como visualizar insights de segurança de aplicativos criados, consulte Criar um aplicativo e ver insights de segurança.

  • Google Cloud Deploy

    O Google Cloud Deploy automatiza a entrega de seus aplicativos para uma série de ambientes de destino em uma sequência definida. Ele oferece suporte à entrega contínua diretamente no Google Kubernetes Engine, Anthos e Cloud Run, com aprovações e reversões com um clique, segurança e auditoria empresarial, bem como métricas de entrega integradas.

Componentes que ajudam a proteger aplicativos em produção

O GKE e o Cloud Run ajudam a proteger a postura de segurança dos seus ambientes de execução. Ambos vêm com recursos de segurança para proteger os aplicativos no momento da execução.

  • GKE

    O GKE pode avaliar sua postura de segurança de contêineres e fornecer orientações ativas sobre as configurações do cluster, da carga de trabalho e das vulnerabilidades. Ele inclui o painel de postura de segurança (visualização), que verifica os clusters e as cargas de trabalho do GKE para fornecer recomendações opinativas e acionáveis para melhorar a postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e ver insights de segurança.

  • Cloud Run

    O Cloud Run contém um painel de segurança (pré-lançamento) que exibe insights de segurança da cadeia de suprimentos de software, como informações de conformidade no nível da compilação do SLSA, procedência do build e vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel de insights de segurança do Cloud Run, consulte Implantar no Cloud Run e visualizar insights de segurança.

Crie uma cadeia de confiança usando uma política

A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança na sua cadeia de suprimentos de software coletando atestados, que são documentos digitais que certificam imagens. Um atestado significa que a imagem associada foi criada com a execução de um processo específico e obrigatório. Com base nesses atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada somente quando os atestados atendem à política da organização. Também é possível configurá-la para alertar você se forem encontradas violações da política. Por exemplo, os atestados podem indicar que uma imagem:

É possível usar a autorização binária com o GKE e o Cloud Run.

Preços

A lista a seguir aponta para as informações de preços dos serviços na solução Software Delivery Shield:

A seguir