Visão geral do Software Delivery Shield

O Software Delivery Shield é uma solução totalmente gerenciada para segurança de cadeia de suprimentos de software de ponta a ponta. Ele fornece um conjunto abrangente e modular de recursos e ferramentas nos produtos do Google Cloud que os desenvolvedores, as equipes de DevOps e de segurança podem usar para melhorar a postura de segurança da cadeia de suprimentos de software.

O Software Delivery Shield consiste em:

• Produtos e recursos do Google Cloud que incorporam práticas recomendadas de segurança para desenvolvimento, criação, teste, verificação, implantação e aplicação de políticas.
• Painéis no console do Google Cloud que mostram informações de segurança sobre origem, builds, artefatos, implantações e ambiente de execução. Essas informações incluem vulnerabilidades em artefatos de build, procedência da build e lista de materiais de software (SBOM, na sigla em inglês).
• Informações que identificam o nível de maturidade da segurança da cadeia de suprimentos de software usando o framework de níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês).

Componentes do Escudo de Entrega de Software

O diagrama a seguir ilustra como os diferentes serviços do Software Delivery Shield trabalham juntos para proteger sua cadeia de suprimentos de software:

As seções a seguir explicam os produtos e recursos que fazem parte da solução Software Delivery Shield:

Componentes que ajudam a proteger o desenvolvimento

Os seguintes componentes do Software Delivery Shield ajudam a proteger o código-fonte do software:

• Cloud Workstations

  O Cloud Workstations oferece ambientes de desenvolvimento totalmente gerenciados no Google Cloud. Com ele, os administradores de TI e segurança podem provisionar, escalonar, gerenciar e proteger os ambientes de desenvolvimento, além de permitir que os desenvolvedores acessem esses ambientes com configurações consistentes e ferramentas personalizáveis.

  O Cloud Workstations ajuda a mudar a segurança melhorando a postura de segurança dos ambientes de desenvolvimento de aplicativos. Ele tem recursos de segurança, como VPC Service Controls, entrada ou saída particular, atualização forçada de imagem e políticas de acesso do Identity and Access Management. Para mais informações, consulte a documentação do Cloud Workstations.

• Proteção source protect Cloud Code (pré-lançamento)

  O Cloud Code oferece suporte ao ambiente de desenvolvimento integrado para criar, implantar e integrar aplicativos ao Google Cloud. Ele permite que os desenvolvedores criem e personalizem um novo aplicativo com base em modelos de amostra e executem o aplicativo finalizado. Com a source protect do Cloud Code, os desenvolvedores oferecem feedback sobre segurança em tempo real, como a identificação de dependências vulneráveis e relatórios de licenças, à medida que funcionam nos ambientes de desenvolvimento integrado. Ela fornece feedback rápido e útil que permite que os desenvolvedores façam correções no código no início do processo de desenvolvimento de software.

  Disponibilidade do recurso: source protect do Cloud Code não está disponível para acesso público. Para acessar esse recurso, consulte a página de solicitação de acesso.

Componentes que ajudam a proteger o fornecimento de software

Proteger o suprimento de software, ou seja, artefatos de build e dependências de aplicativos, é uma etapa essencial para melhorar a segurança da cadeia de suprimentos de software. O uso generalizado de softwares de código aberto torna esse problema ainda mais desafiador.

Os componentes do Software Delivery Shield a seguir ajudam a proteger os artefatos de build e as dependências do aplicativo:

• OSS Assured

  O serviço Assured OSS permite acessar e incorporar os pacotes OSS que foram verificados e testados pelo Google. Ela fornece pacotes Java e Python criados usando os pipelines seguros do Google. Esses pacotes são verificados, analisados e testados regularmente em busca de vulnerabilidades. Para mais informações, consulte a documentação do software de código aberto Assured (em inglês).

• Artifact Registry e Artifact Analysis

  O Artifact Registry permite armazenar, proteger e gerenciar artefatos de build, e o Artifact Analysis detecta proativamente vulnerabilidades de artefatos no Artifact Registry. O Artifact Registry oferece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:

  • O Artifact Analysis fornece verificação sob demanda ou automática para imagens de contêiner base e pacotes de linguagens em contêineres.
  • O Artifact Analysis permite gerar uma lista de materiais de software (SBOM, na sigla em inglês) e fazer upload de instruções do Vulnerability Exploitability eXchange (VEX) para as imagens no Artifact Registry.
  • O Artifact Analysis fornece verificação autônoma que identifica vulnerabilidades atuais e novas nas dependências de código aberto usadas pelos artefatos do Maven (prévia). A verificação ocorre sempre que você envia um projeto Java para o Artifact Registry. Após a verificação inicial, o Artifact Analysis monitora continuamente os metadados de imagens verificadas no Artifact Registry em busca de novas vulnerabilidades.
  • O Artifact Registry é compatível com repositórios remotos e repositórios virtuais. Os repositórios remotos armazenam artefatos de fontes externas predefinidas, como Docker Hub, Maven Central, Python Package Index (PyPI), Debian ou CentOS, além de fontes definidas pelo usuário para formatos compatíveis. O armazenamento de artefatos em cache em repositórios remotos reduz o tempo de download, melhora a disponibilidade do pacote e inclui verificação de vulnerabilidades se ela estiver ativada. Os repositórios virtuais consolidam repositórios do mesmo formato em um único endpoint e permitem controlar a ordem de pesquisa em repositórios upstream. É possível priorizar seus pacotes particulares, o que reduz o risco de ataques de confusão de dependência.

Componentes que ajudam a proteger o pipeline de CI/CD

Usuários de má-fé podem atacar as cadeias de suprimentos de software comprometendo os pipelines de CI/CD. Os seguintes componentes do Software Delivery Shield ajudam a proteger o pipeline de CI/CD:

• Cloud Build

  O Cloud Build executa os builds na infraestrutura do Google Cloud. Ele oferece recursos de segurança, como permissões granulares do IAM, VPC Service Controls e ambientes de criação isolados e temporários. Além disso, ela fornece os seguintes recursos para melhorar a postura de segurança da cadeia de suprimentos de software:

  • Ele é compatível com builds SLSA de nível 3 para imagens de contêiner.
  • Ele gera procedência de build autenticada e não falsificável para aplicativos em contêiner.
  • Ela exibe insights de segurança de aplicativos criados. Isso inclui o seguinte:
    • nível de criação do SLSA, que identifica o nível de maturidade do processo de criação do software de acordo com a especificação da SLSA (em inglês).
    • Vulnerabilidades em artefatos de build.
    • Proveniência da versão, que é uma coleção de metadados verificáveis sobre um build. Ela inclui detalhes como os resumos das imagens criadas, os locais das origens de entrada, o conjunto de ferramentas de build, as etapas e a duração da compilação.

  Para instruções sobre como visualizar insights de segurança de aplicativos criados, consulte Criar um aplicativo e ver insights de segurança.

• Cloud Deploy

  O Cloud Deploy automatiza a entrega dos aplicativos para uma série de ambientes de destino em uma sequência definida. Ele tem suporte à entrega contínua diretamente para o Google Kubernetes Engine, o GKE Enterprise e o Cloud Run, com aprovações e reversões em um clique, segurança e auditoria empresariais, bem como métricas de entrega integradas. Além disso, mostra insights de segurança para aplicativos implantados.

Componentes que ajudam a proteger aplicativos em produção

O GKE e o Cloud Run ajudam a proteger a postura de segurança dos ambientes de execução. Ambos vêm com recursos de segurança para proteger os aplicativos no ambiente de execução.

• GKE

  O GKE pode avaliar a postura de segurança do seu contêiner e fornecer orientação ativa sobre as configurações do cluster, a configuração da carga de trabalho e as vulnerabilidades. Ele inclui o painel de postura de segurança, que verifica seus clusters e cargas de trabalho do GKE para fornecer recomendações opinativas e úteis para melhorar sua postura de segurança. Para instruções sobre como visualizar insights de segurança no painel de postura de segurança do GKE, consulte Implantar no GKE e ver insights de segurança.

• Cloud Run

  O Cloud Run contém um painel de segurança que exibe insights de segurança da cadeia de suprimentos de software, como informações de conformidade no nível do build do SLSA, procedência do build e vulnerabilidades encontradas nos serviços em execução. Para instruções sobre como visualizar insights de segurança no painel correspondente do Cloud Run, consulte Implantar no Cloud Run e ver insights de segurança.

Crie uma cadeia de confiança usando políticas

A autorização binária ajuda a estabelecer, manter e verificar uma cadeia de confiança em toda a cadeia de suprimentos de software coletando attestations, que são documentos digitais que certificam imagens. Um atestado significa que a imagem associada foi criada executando com êxito um processo específico e necessário. Com base nos atestados coletados, a autorização binária ajuda a definir, verificar e aplicar políticas baseadas em confiança. Ele garante que a imagem seja implantada somente quando os atestados atendem à política da sua organização e também pode ser definido para alertar você se alguma violação da política for encontrada. Por exemplo, os atestados podem indicar que uma imagem é:

• Criado pelo Cloud Build.
• Não contém vulnerabilidades maiores do que a gravidade especificada. Se houver vulnerabilidades específicas que não se aplicam aos seus aplicativos, é possível adicioná-las a uma lista de permissões.

É possível usar a autorização binária com o GKE e o Cloud Run.

Preços

A lista a seguir aponta para as informações de preços dos serviços na solução Software Delivery Shield:

• Cloud Workstations
• Cloud Code: disponível sem custos financeiros para todos os clientes do Google Cloud.
• Assured OSS: entre em contato com a equipe de vendas para saber informações sobre preços.
• Artifact Registry
• Artifact Analysis
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Autorização binária

A seguir

• Saiba como criar aplicativos e ver insights de segurança.
• Saiba como implantar no Cloud Run e ver insights de segurança.
• Saiba como implantar no GKE e conferir insights de segurança.