Software Delivery Shield est une solution de sécurité sur la chaîne d'approvisionnement logicielle de bout en bout entièrement gérée. Il fournit un ensemble complet et modulaire de fonctionnalités et d'outils pour les produits Google Cloud, que les développeurs, les équipes DevOps et la sécurité peuvent utiliser pour améliorer la stratégie de sécurité de la chaîne d'approvisionnement logicielle.
Software Delivery Shield comprend:
- Produits et fonctionnalités Google Cloud qui intègrent les bonnes pratiques de sécurité pour le développement, la compilation, les tests, l'analyse, le déploiement et l'application des règles.
- Tableaux de bord de la console Google Cloud qui présentent des informations de sécurité sur la source, les compilations, les artefacts, les déploiements et l'environnement d'exécution. Ces informations incluent les failles dans les artefacts de compilation, la provenance de la compilation et la liste de dépendances de la nomenclature logicielle (SBOM).
- Des informations identifiant le niveau de maturité de la sécurité de la chaîne d'approvisionnement logicielle à l'aide du framework SLSA (Supply chain Levels for Software Artifacts)
Composants de Software Delivery Shield
Le schéma suivant montre comment les différents services de Software Delivery Shield fonctionnent ensemble pour protéger votre chaîne d'approvisionnement logicielle:
Les sections suivantes décrivent les produits et les fonctionnalités qui font partie de la solution Software Delivery Shield:
Composants contribuant à sécuriser le développement
Les composants suivants de Software Delivery Shield contribuent à protéger le code source du logiciel:
Cloud Workstations
Cloud Workstations fournit des environnements de développement entièrement gérés sur Google Cloud. Il permet aux administrateurs informatiques et de sécurité de provisionner, faire évoluer, gérer et sécuriser leurs environnements de développement, et les développeurs d'accéder aux environnements de développement avec des configurations cohérentes et des outils personnalisables.
Cloud Workstations vous aide à faire évoluer la sécurité en améliorant la stratégie de sécurité de vos environnements de développement d'applications. Elle offre des fonctionnalités de sécurité telles que VPC Service Controls, une entrée ou une sortie privées, la mise à jour forcée des images et des règles d'accès Identity and Access Management. Pour en savoir plus, consultez la documentation Cloud Workstations.
Protection de la source protect Cloud Code (preview)
Cloud Code fournit une compatibilité IDE pour créer, déployer et intégrer des applications à Google Cloud. Il permet aux développeurs de créer et de personnaliser une nouvelle application à partir d'exemples de modèles, puis d'exécuter l'application finale. Cloud Code Source Protect fournit aux développeurs des informations de sécurité en temps réel, telles que l'identification des dépendances vulnérables et la création de rapports de licence, lorsqu'ils travaillent dans leurs IDE. Il fournit des commentaires rapides et exploitables qui permettent aux développeurs de corriger leur code au début du processus de développement logiciel.
Disponibilité de la fonctionnalité: Cloud Code Source Protect n'est pas disponible pour l'accès public. Pour accéder à cette fonctionnalité, consultez la page de demande d'accès.
Composants qui aident à sécuriser l’approvisionnement logiciel
La sécurisation de l'approvisionnement logiciel (par exemple, les artefacts de compilation et les dépendances des applications) est une étape essentielle pour améliorer la sécurité de la chaîne d'approvisionnement logicielle. L'utilisation généralisée des logiciels Open Source rend ce problème particulièrement difficile.
Les composants suivants de Software Delivery Shield aident à protéger les artefacts de compilation et les dépendances des applications:
Assured OSS
Le service Assured OSS vous permet d'accéder aux packages OSS qui ont été vérifiés et testés par Google, et de les intégrer. Il fournit des packages Java et Python créés à l'aide des pipelines sécurisés de Google. Ces packages sont régulièrement analysés, analysés et testés à la recherche de failles. Pour en savoir plus, consultez la documentation du logiciel Open Source Assured.
Artifact Registry et Artifact Analysis
Artifact Registry vous permet de stocker, de sécuriser et de gérer vos artefacts de compilation, et Artifact Analysis détecte de manière proactive les failles des artefacts dans Artifact Registry. Artifact Registry offre les fonctionnalités suivantes pour améliorer la sécurité de votre chaîne d'approvisionnement logicielle:
- Artifact Analysis fournit une analyse intégrée à la demande ou automatisée pour les images de conteneurs de base et les packages de langages dans les conteneurs.
- Artifact Analysis vous permet de générer une nomenclature logicielle (SBOM) et d'importer des instructions VEX (Vulnerability Exploitability eXchange) pour les images dans Artifact Registry.
- Artifact Analysis fournit une analyse autonome qui identifie les failles existantes et les nouvelles failles dans les dépendances Open Source utilisées par vos artefacts Maven (preview). L'analyse a lieu chaque fois que vous transférez un projet Java vers Artifact Registry. Après l'analyse initiale, Artifact Analysis surveille en permanence les métadonnées des images analysées dans Artifact Registry pour détecter de nouvelles failles.
- Artifact Registry est compatible avec les dépôts distants et les dépôts virtuels. Les dépôts distants stockent des artefacts provenant de sources externes prédéfinies telles que Docker Hub, Maven Central, l'index de packages Python (PyPI), Debian ou CentOS, ainsi que des sources définies par l'utilisateur pour les formats compatibles. La mise en cache d'artefacts dans des dépôts distants réduit le temps de téléchargement, améliore la disponibilité des packages et inclut une analyse des failles si l'analyse est activée. Les dépôts virtuels regroupent des dépôts du même format derrière un seul point de terminaison et vous permettent de contrôler l'ordre de recherche dans les dépôts en amont. Vous pouvez hiérarchiser vos packages privés, ce qui réduit le risque d'attaques par confusion liées à la dépendance.
Composants qui contribuent à protéger le pipeline CI/CD
Les acteurs malintentionnés peuvent attaquer les chaînes d'approvisionnement logicielles en compromettant les pipelines CI/CD. Les composants suivants de Software Delivery Shield aident à protéger le pipeline CI/CD:
Cloud Build
Cloud Build exécute vos compilations sur l'infrastructure Google Cloud. Elle offre des fonctionnalités de sécurité telles que des autorisations IAM précises, VPC Service Controls, ainsi que des environnements de compilation isolés et éphémères. De plus, il fournit les fonctionnalités suivantes pour améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle:
- Il est compatible avec les builds SLSA de niveau 3 pour les images de conteneurs.
- Il génère une provenance de compilation authentifiée et non falsifiable pour les applications conteneurisées.
- Il affiche des insights sur la sécurité pour les applications créées. Par exemple :
- Le niveau de compilation SLSA, qui identifie le niveau de maturité de votre processus de compilation de logiciels conformément à la spécification SLSA.
- Failles liées aux artefacts de compilation
- La provenance de la compilation, qui est une collection de métadonnées vérifiables concernant une compilation. Il inclut des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de compilation.
Pour savoir comment afficher les insights sur la sécurité pour les applications créées, consultez la page Créer une application et afficher les insights sur la sécurité.
Cloud Deploy
Cloud Deploy automatise la diffusion de vos applications dans une série d'environnements cibles selon une séquence définie. Cloud Run assure la livraison continue directement sur Google Kubernetes Engine, GKE Enterprise et Cloud Run, avec des approbations et des rollbacks en un clic, une sécurité et un audit d'entreprise, ainsi que des métriques de livraison intégrées. De plus, il affiche des insights sur la sécurité pour les applications déployées.
Composants contribuant à protéger les applications en production
GKE et Cloud Run vous aident à sécuriser la stratégie de sécurité de vos environnements d'exécution. Ils intègrent tous deux des fonctionnalités de sécurité qui protègent vos applications au moment de l'exécution.
GKE
GKE peut évaluer la stratégie de sécurité de vos conteneurs et fournir des conseils actifs sur les paramètres du cluster, la configuration des charges de travail et les failles. Elle inclut le tableau de bord de stratégie de sécurité qui analyse vos clusters et charges de travail GKE pour vous fournir des recommandations avisées et exploitables afin d'améliorer votre stratégie de sécurité. Pour savoir comment afficher les insights de sécurité dans le tableau de bord sur la stratégie de sécurité GKE, consultez la section Déployer sur GKE et afficher les insights de sécurité.
Cloud Run
Cloud Run contient un panneau de sécurité qui affiche des insights sur la sécurité de la chaîne d'approvisionnement logicielle, tels que les informations de conformité au niveau de la compilation SLSA, la provenance des compilations et les failles détectées dans les services en cours d'exécution. Pour savoir comment afficher les insights sur la sécurité dans le panneau "Insights de sécurité" de Cloud Run, consultez la page Déployer sur Cloud Run et afficher les insights de sécurité.
Créer une chaîne de confiance avec des règles
L'autorisation binaire permet d'établir, de gérer et de valider une chaîne de confiance tout au long de votre chaîne d'approvisionnement logicielle en collectant des attestations, qui sont des documents numériques qui certifient des images. Une attestation signifie que l'image associée a été créée en exécutant avec succès un processus spécifique requis. Sur la base de ces attestations collectées, l'autorisation binaire permet de définir, de vérifier et d'appliquer des stratégies basées sur la confiance. Elle s'assure que l'image n'est déployée que lorsque les attestations répondent aux règles de votre organisation. Elle peut également être configurée pour vous avertir en cas de non-respect des règles. Par exemple, les attestations peuvent indiquer qu'une image est:
- Compilé par Cloud Build.
- Ne comporte pas de failles supérieures au niveau de gravité spécifié. Si des failles spécifiques ne s'appliquent pas à vos applications, vous pouvez les ajouter à une liste d'autorisation.
Vous pouvez utiliser l'autorisation binaire avec GKE et Cloud Run.
Tarification
La liste suivante renvoie aux informations tarifaires des services inclus dans la solution Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponible sans frais pour tous les clients Google Cloud.
- Assured OSS: contactez l'équipe commerciale pour obtenir des informations sur les tarifs.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorisation binaire
Étapes suivantes
- Découvrez comment créer des applications et afficher des insights sur la sécurité.
- Découvrez comment déployer sur Cloud Run et afficher les insights sur la sécurité.
- Découvrez comment déployer sur GKE et afficher les insights sur la sécurité.