Software Delivery Shield 概览

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

Software Delivery Shield 是一种全代管式端到端软件供应链安全解决方案。它针对 Google Cloud 服务提供了一套模块化的全面功能和工具,供开发者、DevOps 和安全团队用来改善软件供应链的安全状况。

Software Delivery Shield 包括:

  • Google Cloud 产品和功能结合了开发、构建、测试、扫描、部署和政策实施方面的安全最佳做法。
  • Google Cloud 控制台中的信息中心,提供了有关来源、构建、工件、部署和运行时的安全信息。这些信息包括 build 工件中的漏洞、build 出处和软件物料清单 (SBOM) 依赖项列表。
  • 使用软件工件 (SLSA) 框架的供应链级别确定软件供应链安全成熟度的信息。

软件交付护盾的组件

下图展示了 Software Delivery Shield 中的不同服务如何共同保护您的软件供应链:

展示 Software Delivery Shield 组件的示意图

以下部分介绍了 Software Delivery Shield 解决方案中的产品和功能:

有助于保障开发安全的组件

Software Delivery Shield 的以下组件有助于保护软件源代码:

  • Cloud Workstations(预览版)

    Cloud Workstations 在 Google Cloud 上提供全代管式开发环境。它可让 IT 和安全管理员轻松地预配、扩缩、管理和保护其开发环境,并允许开发者通过一致的配置和可自定义的工具访问开发环境。

    Cloud Workstations 可增强应用开发环境的安全态势,帮助实现左移安全。它具有诸如 VPC Service Controls、专用入站流量或出站流量、强制映像更新以及 Identity and Access Management 访问权限政策等安全功能。如需了解详情,请参阅 Cloud Workstations 文档

  • Cloud Code 源代码保护(预览版)

    Cloud Code 提供 IDE 支持,方便您创建、部署和集成 Google Cloud 应用。它使开发者可以根据示例模板创建和自定义新应用,并运行已完成的应用。开发者在 IDE 中工作时,Cloud Code 源代码保护可为开发者提供实时安全反馈,例如识别易受攻击的依赖项和许可报告。它可提供快速且可作为行动依据的反馈,以便开发者在软件开发过程开始时更正其代码。

    功能可用性:Cloud Code 源代码保护功能无法公开访问。如需获取此功能,请参阅访问权限请求页面

有助于保护软件供应的组件

保障软件供应安全(构建工件和应用依赖项)是提高软件供应链安全性的关键步骤。开源软件的普遍使用使得此问题特别具有挑战性。

Software Delivery Shield 的以下组件有助于保护 build 工件和应用依赖项:

  • 安全 OSS(预览版)

    借助 Assured OSS 服务,您可以访问并整合已经过 Google 验证和测试的 OSS 软件包。它提供了超过 250 个软件包(支持 Java 和 Python)。这些软件包使用 Google 的安全流水线构建,并会定期扫描、分析和测试漏洞。如需了解详情,请参阅 Assured Open Source Software 文档

  • Artifact Registry 和 Container Analysis

    借助 Artifact Registry,您可以存储、保护和管理构建工件,Container Analysis 会主动检测 Artifact Registry 中工件的漏洞。Artifact Registry 提供以下功能来改善软件供应链的安全状况:

    • Container Analysis 为容器的基本容器映像、Maven 和 Go 软件包以及非容器化 Maven 软件包提供集成的按需自动扫描功能。
    • Container Analysis 提供独立扫描(预览版),可识别 Maven 工件使用的开源依赖项中的现有漏洞和新漏洞。每次将 Java 项目推送到 Artifact Registry 时,系统都会执行扫描。初始扫描后,Container Analysis 会持续监控 Artifact Registry 中已扫描映像的元数据,以检测新漏洞。
    • Artifact Registry 支持 Java 软件包的远程代码库(预览版)和虚拟代码库(预览版)。远程代码库充当 Maven Central 的依赖项的缓存代理,这样可以缩短下载时间、提高软件包可用性,以及在启用扫描的情况下进行漏洞扫描。虚拟代码库将格式相同的代码库整合到单个端点后,并可让您控制上游代码库中的搜索顺序。您可以优先考虑您的专用软件包,这样可以降低依赖项混淆攻击的风险。

有助于保护 CI/CD 流水线的组件

不法分子可能会入侵 CI/CD 流水线,从而攻击软件供应链。Software Delivery Shield 的以下组件有助于保护 CI/CD 流水线:

  • Cloud Build

    Cloud Build 在 Google Cloud 基础架构上执行构建。它提供精细的 IAM 权限、VPC Service Controls 以及隔离和临时构建环境等安全功能。此外,它还提供以下功能来改善软件供应链的安全状况:

    如需了解如何查看已构建应用的安全性数据分析,请参阅构建应用和查看安全性数据分析

  • Google Cloud Deploy

    Google Cloud Deploy 可让您按照定义的序列将应用自动发布到一系列目标环境。它支持一键式批准和回滚、企业安全和审核以及内置交付指标,直接分发到 Google Kubernetes Engine、Anthos 和 Cloud Run。

有助于保护生产环境中的应用的组件

GKECloud Run 可帮助保护运行时环境的安全状况。它们都附带安全功能,可在运行时保护您的应用。

  • GKE

    GKE 可以评估您的容器安全状况,并提供关于集群设置、工作负载配置和漏洞的主动指导。它包含 Security Posture 信息中心(预览版),可扫描您的 GKE 集群和工作负载,为您提供切实可行的建议,从而改善您的安全状况。如需了解如何在 GKE Security Posture 信息中心查看安全性数据分析,请参阅在 GKE 上部署和查看安全性数据分析

  • Cloud Run

    Cloud Run 包含一个安全面板(预览版),可以显示软件供应链安全性数据分析,例如 SLSA 构建级别合规性信息、build 出处以及运行中的服务发现的漏洞。如需了解如何在 Cloud Run 安全性数据分析面板中查看安全性数据分析,请参阅在 Cloud Run 上部署和查看安全性数据分析

通过政策建立信任链

Binary Authorization 通过收集证明(即用于认证映像的数字文档),帮助建立、维护和验证软件供应链中的信任链。证明表明关联的映像已成功执行特定的必需进程。根据收集的这些证明,Binary Authorization 可帮助定义、验证和强制执行基于信任的政策。这样可确保只有在证明符合您组织的政策时,才会部署该映像,并且还可以设置在发现任何违反政策时提醒您。例如,证明可以表明某张图片符合以下条件:

您可以将 Binary Authorization 与 GKE 和 Cloud Run 搭配使用。

价格

以下列表指向了软件交付护盾解决方案中服务的价格信息:

后续步骤