Software Delivery Shield 是一种全代管式端到端软件供应链安全解决方案。它提供了一套全面的模块化功能和工具,涵盖各种 Google Cloud 产品,开发者、DevOps 和安全团队可用于改善软件供应链的安全状况。
Software Delivery Shield 包括:
- 纳入了开发、构建、测试、扫描、部署和政策执行方面的安全最佳实践的 Google Cloud 产品和功能。
- Google Cloud 控制台中的信息中心,显示有关源代码、构建、工件、部署和运行时的安全信息。这些信息包括构建工件、构建出处和软件物料清单 (SBOM) 依赖项列表中的漏洞。
- 使用软件工件的供应链级别 (SLSA) 框架确定软件供应链安全成熟度级别的信息。
Software Delivery Shield 的组件
下图说明了 Software Delivery Shield 中的不同服务如何协同工作以保护您的软件供应链:
以下部分介绍了软件交付护盾解决方案中包含的产品和功能:
有助于保护开发的组件
Software Delivery Shield 的以下组件有助于保护软件源代码:
Cloud Workstations
Cloud Workstations 在 Google Cloud 上提供全代管式开发环境。它使 IT 和安全管理员能够预配、扩缩、管理和保护其开发环境,并允许开发者使用一致的配置和可自定义的工具访问开发环境。
Cloud Workstations 可改善应用开发环境的安全状况,帮助确保安全性。它具有 VPC Service Controls、专用入站流量或出站流量、强制映像更新以及 Identity and Access Management 访问权限政策等安全功能。如需了解详情,请参阅 Cloud Workstations 文档。
Cloud Code source protect(预览版)
Cloud Code 提供 IDE 支持,可让您创建、部署和集成应用与 Google Cloud。它使开发者能够基于示例模板创建和自定义新应用,并运行完成的应用。当开发者在 IDE 中工作时,Cloud Code source protect 可为开发者提供实时安全反馈,例如识别存在漏洞的依赖项和许可报告。它提供快速且切实可行的反馈,使开发者能够在软件开发过程的开始阶段纠正他们的代码。
功能可用性:Cloud Code source protect 不可公开访问。如需使用此功能,请参阅访问权限请求页面。
有助于保障软件供应安全的组件
保护软件供应(构建工件和应用依赖项)安全是提高软件供应链安全性的关键一步。开源软件的广泛使用使此问题变得特别具有挑战性。
Software Delivery Shield 的以下组件有助于保护 build 工件和应用依赖项:
可靠的 OSS
借助 Assured OSS 服务,您可以访问和整合已经过 Google 验证和测试的 OSS 软件包。它提供使用 Google 安全流水线构建的 Java 和 Python 软件包。系统会定期扫描、分析和测试这些软件包是否存在漏洞。如需了解详情,请参阅安心开源软件文档。
Artifact Registry 和 Artifact Analysis
借助 Artifact Registry,您可以存储、保护和管理构建工件,还可以通过 Artifact Analysis 主动检测 Artifact Registry 中的工件的漏洞。Artifact Registry 提供以下功能来改善软件供应链的安全状况:
- Artifact Analysis 可对容器中的基础容器映像和语言包提供集成式按需或自动扫描功能。
- 借助 Artifact Analysis,您可以生成软件物料清单 (SBOM),并为 Artifact Registry 中的映像上传漏洞可利用性交流 (Vulnerability Exploitability eXchange) 语句。
- Artifact Analysis 提供独立扫描功能,可识别 Maven 工件使用的开源依赖项中的现有漏洞和新漏洞(预览版)。每当您将 Java 项目推送到 Artifact Registry 时,系统都会进行扫描。首次扫描后,Artifact Analysis 会持续监控 Artifact Registry 中扫描映像的元数据,以查找新漏洞。
- Artifact Registry 支持远程代码库和虚拟代码库。远程仓库可以存储来自预设外部来源(例如 Docker Hub、Maven Central、Python 软件包索引 (PyPI)、Debian 或 CentOS)的工件,以及针对支持的格式用户定义的来源。 通过缓存远程代码库中的工件,您可以缩短下载时间,提高软件包可用性,并在启用了扫描功能的情况下进行漏洞扫描。虚拟仓库将格式相同的仓库整合到单个端点后面,并使您可以控制跨上游仓库的搜索顺序。您可以优先处理私有软件包,从而降低依赖项混淆攻击的风险。
有助于保护 CI/CD 流水线的组件
不法分子可能会通过破坏 CI/CD 流水线来攻击软件供应链。Software Delivery Shield 的以下组件有助于保护 CI/CD 流水线:
Cloud Build
Cloud Build 在 Google Cloud 基础架构上执行构建。它提供各种安全功能,例如精细的 IAM 权限、VPC Service Controls 以及隔离的临时构建环境。此外,它还提供以下功能,以改善软件供应链的安全状况:
- 它支持容器映像的 SLSA 级别 3 构建。
- 它会为容器化应用生成经过身份验证和不可伪造的构建出处。
- 它显示所构建应用的安全性数据分析。其中包括:
- SLSA build 级别,它根据 SLSA 规范标识软件构建流程的成熟度。
- build 工件中的漏洞。
- 构建出处,即有关 build 的可验证元数据的集合。其中包括已构建映像的摘要、输入来源位置、构建工具链、构建步骤和构建时长等详细信息。
如需了解如何查看已构建应用的安全性数据分析,请参阅构建应用并查看安全性数据分析。
Cloud Deploy
Cloud Deploy 会自动按定义的顺序将应用交付到一系列目标环境。它支持直接持续交付到 Google Kubernetes Engine、GKE Enterprise 和 Cloud Run,并提供一键式批准和回滚、企业安全性和审核以及内置的交付指标。此外,它会显示已部署应用的安全性数据分析。
有助于保护生产环境中的应用的组件
GKE 和 Cloud Run 可帮助保护运行时环境的安全状况。它们都内置了安全功能,可以在运行时保护您的应用。
GKE
GKE 可以评估您的容器安全状况,并围绕集群设置、工作负载配置和漏洞提供主动指导。它包含安全状况信息中心,可扫描 GKE 集群和工作负载,为您提供专业且切实可行的建议,以改善安全状况。如需了解如何在 GKE 安全状况信息中心内查看安全性数据分析,请参阅在 GKE 上部署并查看安全性数据分析。
Cloud Run
Cloud Run 包含一个安全面板,它会显示软件供应链安全性数据分析,例如 SLSA 构建级合规性信息、构建出处以及在运行中的服务中发现的漏洞。如需了解如何在 Cloud Run 安全性数据分析面板中查看安全性数据分析,请参阅在 Cloud Run 上部署并查看安全性数据分析。
通过政策建立信任链
Binary Authorization 通过收集证明(即用于认证映像的数字文档)attestations,帮助您在软件供应链中建立、维护和验证信任链。证明表明关联的映像已通过成功执行特定的必需进程构建。根据收集的这些证明,Binary Authorization 可帮助定义、验证和强制执行基于信任的政策。它可确保仅在证明符合您组织的政策时部署映像,还可以设置为在发现任何违反政策的行为时向您发出提醒。例如,证明可以表明某映像符合以下要求:
- 由 Cloud Build 构建。
- 不包含高于指定严重级别的漏洞。 如果存在不适用于您的应用的特定漏洞,您可以将它们添加到许可名单中。
您可以将 Binary Authorization 与 GKE 和 Cloud Run 搭配使用。
价格
以下列表指向 Software Delivery Shield 解决方案中服务的价格信息:
- Cloud Workstations
- Cloud Code:所有 Google Cloud 客户均可免费使用。
- 可靠的 OSS:如需了解价格信息,请与销售团队联系。
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Binary Authorization
后续步骤
- 了解如何构建应用和查看安全性数据分析。
- 了解如何部署到 Cloud Run 并查看安全性数据分析。
- 了解如何部署到 GKE 并查看安全性数据分析。