針對軟體供應鏈安全Google推出Software Delivery Shield,這是一個全託管軟體供應鏈安全解決方案,其提供了一組模組化功能,保護軟體供應鏈的每個階段。

Software Delivery Shield覆蓋的範圍極廣,從開發者工具到GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列Google雲端服務,其主要解決軟體供應鏈5大領域的安全問題,分別是應用程式開發、軟體供應、CI/CD、生產環境和政策,用戶可以根據需求,以及現有的環境和安全優先層級,逐步採用Software Delivery Shield。

Software Delivery Shield的Cloud Workstations服務,能夠在Google雲端上提供全託管開發環境,開發人員可以透過瀏覽器隨時存取可自訂的開發環境,同時IT和安全管理人員,也能夠簡單地配置、擴展和保護Google雲端的開發環境。

官方提到,Cloud Workstations可以透過強化應用程式開發環境的安全態勢,左移開發安全性。Cloud Workstations透過VPC服務控制、無本地儲存原始碼,以及強迫映像檔更新和IAM存取政策,能夠有效解決常見本地開發的痛點,像是程式碼洩漏、隱私風險和配置不一致等問題。

Google也在Cloud Code IDE擴充套件新增Source Protect功能,Source Protect能夠在IDE中提供即時安全保護,辨識易受攻擊的相依項目和授權等問題,而藉由快速操作和回應,可讓開發人員即時調整程式碼,減少未來需要修復的機會。

在保護軟體供應鏈上,企業普遍使用開源軟體成為具有挑戰性的問題,Software Delivery Shield使DevOps團隊可以在Artifact Registry安全地儲存、管理和保護構件,透過整合Container Analysis掃描主動偵測漏洞,Google也在該服務擴展支援的語言,且除了掃描基礎映像檔,還能夠對Maven和Go容器,以及非容器化Maven套件進行漏洞掃描。

而Google在5月的時候所推出Assured Open Source Software(Assured OSS)服務,也成為Software Delivery Shield的重點部分,提供企業和開發商經Google漏洞檢查和簽章的開源套件。

在CI/CD工作管線上,Cloud Build和Cloud Deploy都具有高精細IAM控制、VPC服務控制、隔離和臨時環境等安全功能,使DevOps人員更好地管理建置和部署過程,而對於生產環境中的應用程式,GKE則內建新的安全狀態管理功能,可辨識和解決叢集中的安全問題,Cloud Run的安全面板則新增顯示SLSA建置等級法遵資訊、建置出處和已發現漏洞等供應鏈安全資訊。

另外,Software Delivery Shield還具有基於信任的政策引擎,以建立和驗證整個供應鏈的信任鏈,Binary Authorization功能提供部署時的安全控制,可以確保GKE和Cloud Run部署受信任的容器映像檔,安全團隊可以在開發過程要求受信任的權威機構對映像檔簽章,並在部署時強制驗證簽章,確保只有經過驗證的內容,可以整合進建置和發布程序,更嚴格地控制容器環境。

熱門新聞

Advertisement