Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Software Delivery Shield

Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada. Proporciona un conjunto integral y modular de funciones y herramientas en los productos de Google Cloud que los desarrolladores, DevOps y los equipos de seguridad pueden usar para mejorar la postura de seguridad de la cadena de suministro de software.

Software Delivery Shield consiste en:

Productos y funciones de Google Cloud que incorporan prácticas recomendadas de seguridad para el desarrollo, la compilación, la prueba, el análisis, la implementación y la aplicación de políticas.
Paneles de la consola de Google Cloud que muestran información de seguridad sobre la fuente, las compilaciones, los artefactos, las implementaciones y el entorno de ejecución. Esta información incluye las vulnerabilidades en los artefactos de compilación, la procedencia de la compilación y la lista de dependencias de la lista de materiales de software (SBOM).
Información que identifica el nivel de madurez de la seguridad de tu cadena de suministro de software mediante el framework de Niveles de cadena de suministro para artefactos de software (SLSA).

Componentes del Software Delivery Shield

En el siguiente diagrama, se ilustra cómo los diferentes servicios dentro del Software Delivery Shield funcionan juntos para proteger la cadena de suministro de software:

Un diagrama que muestra los componentes del Software Delivery Shield (Escudo de entrega de software)

En las siguientes secciones, se explican los productos y las funciones que forman parte de la solución Software Delivery Shield:

Componentes que ayudan a proteger el desarrollo

Los siguientes componentes del Software Delivery Shield ayudan a proteger el código fuente de software:

Cloud Workstations

Cloud Workstations proporciona entornos de desarrollo completamente administrados en Google Cloud. Permite que los administradores de TI y seguridad aprovisionen, escale, administren y protejan sus entornos de desarrollo y les permite a los desarrolladores acceder a entornos de desarrollo con parámetros de configuración coherentes y herramientas personalizables.

Cloud Workstations ayuda a cambiar la seguridad a la izquierda, ya que mejora la postura de seguridad de los entornos de desarrollo de aplicaciones. Tiene funciones de seguridad, como los Controles del servicio de VPC, entrada o salida privada, actualización forzada de imágenes y políticas de acceso de Identity and Access Management. Para obtener más información, consulta la documentación de Cloud Workstations.
Cloud Code source protect (versión preliminar)

Cloud Code proporciona compatibilidad con IDE para crear, implementar e integrar aplicaciones en Google Cloud. Permite a los desarrolladores crear y personalizar una aplicación nueva a partir de plantillas de muestra y ejecutar la aplicación finalizada. Cloud Code Source Protect brinda a los desarrolladores comentarios de seguridad en tiempo real, como la identificación de dependencias vulnerables y los informes de licencias, mientras trabajan en sus IDE. Proporciona comentarios rápidos y prácticos que permiten a los desarrolladores hacer correcciones en su código al comienzo del proceso de desarrollo de software.

Disponibilidad de las funciones: source protect de Cloud Code no está disponible para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.

Componentes que ayudan a proteger el suministro de software

Proteger el suministro de software (crear artefactos y dependencias de aplicaciones) es un paso fundamental para mejorar la seguridad de la cadena de suministro de software. El uso generalizado del software de código abierto hace que este problema sea particularmente desafiante.

Los siguientes componentes de Software Delivery Shield ayudan a proteger los artefactos de compilación y las dependencias de aplicaciones:

OSS garantizado

El servicio Assured OSS te permite incorporar y acceder a los paquetes OSS que Google verificó y probó. Proporciona paquetes de Java y Python que se compilan mediante canalizaciones seguras de Google. Estos paquetes se analizan, analizan y prueban con regularidad en busca de vulnerabilidades. Para obtener más información, consulta la documentación de Assured Open Source Software.
Artifact Registry y Artifact Analysis

Artifact Registry te permite almacenar, proteger y administrar los artefactos de compilación. Además, Artifact Analysis detecta de forma proactiva vulnerabilidades para artefactos en Artifact Registry. Artifact Registry proporciona las siguientes funciones para mejorar la postura de seguridad de tu cadena de suministro de software:
- Artifact Analysis proporciona análisis automatizados o a pedido integrados para imágenes de contenedor base y paquetes de lenguajes en contenedores.
- Artifact Analysis te permite generar una lista de materiales de software (SBOM) y subir declaraciones de Vulnerability Exploitability eXchange (VEX) para las imágenes en Artifact Registry.
- Artifact Analysis proporciona análisis independientes que identifican vulnerabilidades existentes y nuevas dentro de las dependencias de código abierto que usan tus artefactos de Maven (versión preliminar). El análisis se realiza cada vez que envías un proyecto de Java a Artifact Registry. Después del análisis inicial, Artifact Analysis supervisa de forma continua los metadatos de las imágenes analizadas en Artifact Registry para detectar nuevas vulnerabilidades.
- Artifact Registry admite repositorios remotos y repositorios virtuales. Los repositorios remotos almacenan artefactos de fuentes externas predeterminadas, como Docker Hub, Maven Central, el índice de paquetes de Python (PyPI), Debian o CentOS, así como fuentes definidas por el usuario para formatos compatibles. El almacenamiento en caché de artefactos en repositorios remotos reduce el tiempo de descarga, mejora la disponibilidad de los paquetes y también incluye el análisis de vulnerabilidades si el análisis está habilitado. Los repositorios virtuales consolidan repositorios del mismo formato detrás de un único extremo y te permiten controlar el orden de búsqueda en los repositorios ascendentes. Puedes priorizar tus paquetes privados, lo que reduce el riesgo de ataques de confusión de dependencias.

Componentes que ayudan a proteger la canalización de CI/CD

Las entidades que actúan de mala fe pueden atacar las cadenas de suministro de software poniendo en riesgo las canalizaciones de CI/CD. Los siguientes componentes del Software Delivery Shield ayudan a proteger la canalización de CI/CD:

Cloud Build

Cloud Build ejecuta tus compilaciones en la infraestructura de Google Cloud. Ofrece funciones de seguridad, como permisos detallados de IAM, Controles del servicio de VPC y entornos de compilación aislados y efímeros. Además, proporciona las siguientes funciones para mejorar la postura de seguridad de tu cadena de suministro de software:
- Admite compilaciones de nivel 3 de SLSA para imágenes de contenedor.
- Genera una procedencia de compilación autenticada y no falsa para las aplicaciones alojadas en contenedores.
- Muestra estadísticas de seguridad para las aplicaciones compiladas. Incluye lo siguiente:
  - el nivel de compilación SLSA, que identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación SLSA.
  - Vulnerabilidades en artefactos de compilación.
  - Procedencia de la compilación, que es una colección de metadatos verificables sobre una compilación. Se incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos y la duración de la compilación.
Si quieres obtener instrucciones para ver las estadísticas de seguridad de las aplicaciones compiladas, consulta Compila una aplicación y consulta las estadísticas de seguridad.
Cloud Deploy

Cloud Deploy automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una secuencia definida. Admite la entrega continua directamente a Google Kubernetes Engine, GKE Enterprise y Cloud Run, con aprobaciones y reversiones con un solo clic, seguridad y auditoría empresariales, y métricas de entrega integradas. Además, muestra estadísticas de seguridad para las aplicaciones implementadas.

Componentes que ayudan a proteger las aplicaciones en producción

GKE y Cloud Run ayudan a proteger la postura de seguridad de los entornos de ejecución. Ambos incluyen funciones de seguridad para proteger las aplicaciones durante el tiempo de ejecución.

GKE

GKE puede evaluar la postura de seguridad de tu contenedor y brindarte orientación activa sobre la configuración del clúster, la configuración de la carga de trabajo y las vulnerabilidades. Incluye el panel de postura de seguridad, que analiza tus clústeres y cargas de trabajo de GKE para brindarte recomendaciones bien definidas y prácticas que te permitan mejorar tu postura de seguridad. Si deseas obtener instrucciones para visualizar las estadísticas de seguridad en el panel de postura de seguridad de GKE, consulta Implementa en GKE y visualiza las estadísticas de seguridad.
Cloud Run

Cloud Run contiene un panel de seguridad en el que se muestran estadísticas de seguridad de la cadena de suministro de software, como la información de cumplimiento a nivel de compilación del SLSA, la procedencia de la compilación y las vulnerabilidades encontradas en los servicios en ejecución. Si quieres obtener instrucciones para ver las estadísticas de seguridad en el panel de estadísticas de seguridad de Cloud Run, consulta Implementa en Cloud Run y visualiza las estadísticas de seguridad.

Genera una cadena de confianza a través de políticas

La autorización binaria ayuda a establecer, mantener y verificar una cadena de confianza a lo largo de la cadena de suministro de software mediante la recopilación de attestations, que son documentos digitales que certifican imágenes. Una certificación significa que la imagen asociada se compiló mediante la ejecución correcta de un proceso específico necesario. Según estas certificaciones recopiladas, la autorización binaria ayuda a definir, verificar y aplicar políticas basadas en la confianza. Garantiza que la imagen solo se implemente cuando las certificaciones cumplan con la política de la organización y también se puede configurar para que te alerte si se detectan incumplimientos de políticas. Por ejemplo, las certificaciones pueden indicar que una imagen tiene las siguientes características:

Compilada por Cloud Build.
No contiene vulnerabilidades superiores a una gravedad especificada. Si hay vulnerabilidades específicas que no se aplican a tus aplicaciones, puedes agregarlas a una lista de entidades permitidas.

Puedes usar la autorización binaria con GKE y Cloud Run.

Precios

En la siguiente lista, se presenta la información de precios de los servicios en la solución Software Delivery Shield:

Cloud Workstations
Cloud Code: Disponible para todos los clientes de Google Cloud sin cargo.
Assured OSS: Comunícate con el equipo de ventas para obtener información sobre los precios.
Artifact Registry
Artifact Analysis
Cloud Build
Cloud Deploy
Cloud Run
GKE
Autorización binaria

¿Qué sigue?

Obtén más información sobre cómo compilar aplicaciones y consultar estadísticas de seguridad.
Obtén información sobre cómo realizar implementaciones en Cloud Run y ver las estadísticas de seguridad.
Obtén información sobre cómo realizar implementaciones en GKE y ver las estadísticas de seguridad.