Software Delivery Shield 是一种全代管式端到端软件供应平台 安全链它提供了一套全面、模块化的 提供各种 Google Cloud 产品的功能和工具,供开发者、DevOps 和 安全团队可以用来改善软件供应的安全状况 。
Software Delivery Shield 包括:
- 采用了安全最佳实践的 Google Cloud 产品和功能 开发、构建、测试、扫描、部署和政策实施。
- Google Cloud 控制台中的信息中心,用于显示 源代码、构建、工件、部署和运行时这些信息包括 构建工件、构建出处以及 软件物料清单 (SBOM) 依赖项列表。
- 标识软件供应链成熟度的信息 使用 软件制品 (SLSA) 框架的供应链级别。
Software Delivery Shield 的组件
下图说明了 Software Delivery Shield 可以协同保护您的软件供应链:
以下部分介绍了 Google Ads 计划中的产品和功能 Software Delivery Shield 解决方案:
有助于保障开发安全的组件
Software Delivery Shield 的以下组件有助于保护软件来源 代码:
Cloud Workstations
Cloud Workstations 在 Google Cloud 上 Google Cloud它使 IT 和安全管理员能够进行预配、扩缩、 管理和保护其开发环境 可让您访问具有一致配置和 可定制的工具
Cloud Workstations 通过增强安全性,将安全性 应用开发环境的安全状况。它具有 VPC Service Controls、专用入站流量或出站流量等 映像更新和 Identity and Access Management 访问权限政策。有关详情,请参阅 Cloud Workstations 文档。
Cloud Code source protect(预览版)
Cloud Code 提供 IDE 支持,以创建、部署和 将应用与 Google Cloud 集成。它让开发者可以 根据示例模板创建和自定义新应用, 已完成的应用。Cloud Code source protect 为开发者提供了 实时安全反馈,例如识别易受攻击的 以及依赖项和许可报告。它提供 提供可作为行动依据的快速反馈 在软件开发流程的开始阶段,为他们提供代码
功能可用性:Cloud Code source protect 功能不可用 以便公开访问要使用此功能,请参阅 访问权限申请页面。
帮助保护软件供应的组件
保障软件供应(构建工件和应用依赖项)的安全 是提高软件供应链安全性的关键一步。无处不在 使用开源软件使这一问题特别具有挑战性。
Software Delivery Shield 的以下组件有助于保护 build 工件 和应用依赖项:
Assured OSS
Assured OSS 服务可让您访问和整合 OSS 都经过 Google 验证和测试的软件包它提供 Java 和 使用 Google 的安全流水线构建的 Python 软件包。这些软件包 定期扫描、分析和测试漏洞。有关 请参阅 有保障的开源软件文档。
Artifact Registry 和 Artifact Analysis
Artifact Registry 可让您存储、保护和 管理构建工件 Artifact Analysis 主动检测 Artifact Registry 中制品的漏洞。 Artifact Registry 提供以下功能 软件供应链状况:
- Artifact Analysis 通过集成 按需或 自动扫描 容器中的基础容器映像和语言包。
- 借助 Artifact Analysis 生成软件物料清单 (SBOM) 并上传 漏洞可利用性交换 (Vulnerability Exploitability eXchange, VEX) 声明 对 Artifact Registry 中的映像进行测试
- Artifact Analysis 提供独立扫描, 识别现有漏洞和新漏洞, Maven 制品使用的源代码依赖项 (预览)。每次您将 Java 项目推送到 Artifact Registry初始扫描完成后,Artifact Analysis 持续监控 Artifact Registry 中扫描映像的元数据 检测新漏洞。
- Artifact Registry 支持 远程仓库 和虚拟代码库 远程仓库存储来自预设外部来源的制品,例如 Docker Hub、Maven Central、Python 软件包索引 (PyPI)、Debian 或 CentOS 以及用户定义的来源 支持的格式。 缓存远程代码库中的制品可以缩短下载时间并改进 软件包可用性,并且包括在扫描时 已启用。虚拟仓库可合并拥有相同数量的 格式,让您可以控制搜索顺序 跨上游仓库进行迁移您可以为专用软件包设定优先级 从而降低 依赖项混淆攻击
有助于保护 CI/CD 流水线的组件
不良行为者可能会通过破坏 CI/CD 来攻击软件供应链 流水线。Software Delivery Shield 的以下组件有助于保护 CI/CD 流水线:
Cloud Build
Cloud Build 在 Google Cloud 上执行构建 基础架构它提供诸多安全功能 VPC Service Controls 临时构建环境此外,它还提供以下功能: 来改善软件供应链的安全状况:
- 它支持 适用于容器映像的 SLSA 级别 3 build。
- 它会生成经过身份验证和不可伪造的 构建出处 容器化应用。
- 显示安全性数据分析
构建应用其中包括:
- SLSA build 级别,用于确定软件的成熟度级别 遵循 SLSA 规范。
- 构建工件中的漏洞。
- build 出处,这是关于 build。它包含构建映像的摘要、 输入源位置、构建工具链、构建步骤和构建时长。
如需了解如何查看已构建应用的安全性数据分析,请参阅 构建应用并查看安全性数据分析。
Cloud Deploy
Cloud Deploy 可以自动将您的 按指定顺序将应用部署到一系列目标环境。它 支持直接持续交付到 Google Kubernetes Engine、GKE Enterprise, Cloud Run,提供一键式批准和回滚功能,企业级 以及内置投放指标此外, 显示已部署应用的安全性数据分析。
有助于保护生产环境中的应用的组件
GKE Cloud Run则可帮助 运行时环境的安全状况它们都有 安全功能,在运行时保护您的应用。
GKE
GKE 可以评估您的容器安全状况 有关集群设置、工作负载配置和漏洞的指南。 它包含安全状况信息中心 GKE 集群和工作负载 切实可行的建议,以改善您的安全状况。相关说明 如何在 GKE 安全状况中查看安全性数据分析 请参阅 在 GKE 上部署并查看安全性数据分析。
Cloud Run
Cloud Run 包含一个安全面板,该面板显示软件 供应链安全数据分析,例如 SLSA build 级合规性信息, 构建出处以及运行中的服务中发现的漏洞。对于 有关如何在 Cloud Run 安全性中查看安全性数据分析的说明, 数据分析面板,请查看 在 Cloud Run 上部署并查看安全性数据分析。
通过政策建立信任链
Binary Authorization 可帮助建立、维护和验证信任链 证明您的软件供应链安全,并收集证明(证明是数字 图片验证文档。证明 已成功执行特定的必需进程来构建映像。位于 Binary Authorization 可帮助定义和验证 并强制执行基于信任的政策。它确保仅部署映像 当证明符合贵组织的政策时,该设置也可以设为 在发现任何违规问题时提醒您。例如,证明 表示某张图片:
- 由 Cloud Build 构建。
- 不包含高于指定严重级别的漏洞。 如果存在不适用于您的 可以将其添加到许可名单中。
您可以将 Binary Authorization 与 GKE 搭配使用, Cloud Run。
价格
以下列表指向 Software Delivery Shield 解决方案:
- Cloud Workstations
- Cloud Code:所有 Google Cloud 客户无需 费用。
- Assured OSS:联系销售团队了解价格 信息。
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Binary Authorization
后续步骤
- 了解如何构建应用和查看安全性数据分析。
- 了解如何部署到 Cloud Run 并查看安全性数据分析。
- 了解如何部署到 GKE 并查看安全性数据分析。