Google針對軟件供應(yīng)鏈推出安全解決方案

針對軟件供應(yīng)鏈安全Google推出Software Delivery Shield，這是一個全托管軟件供應(yīng)鏈安全解決方案，其提供了一組模塊化功能，保護軟件供應(yīng)鏈的每個階段。

Software Delivery Shield覆蓋的范圍極廣，從開發(fā)者工具到GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列Google云計算服務(wù)，其主要解決軟件供應(yīng)鏈5大領(lǐng)域的安全問題，分別是應(yīng)用程序開發(fā)、軟件供應(yīng)、CI/CD、生產(chǎn)環(huán)境和政策，用戶可以根據(jù)需求，以及現(xiàn)有的環(huán)境和安全優(yōu)先層級，逐步采用Software Delivery Shield。

Software Delivery Shield的Cloud Workstations服務(wù)，能夠在Google云計算上提供全托管開發(fā)環(huán)境，開發(fā)人員可以通過瀏覽器隨時訪問可自訂的開發(fā)環(huán)境，同時IT和安全管理人員，也能夠簡單地配置、擴展和保護Google云計算的開發(fā)環(huán)境。

官方提到，Cloud Workstations可以通過強化應(yīng)用程序開發(fā)環(huán)境的安全態(tài)勢，左移開發(fā)安全性。Cloud Workstations通過VPC服務(wù)控制、無本地存儲源碼，以及強迫鏡像文件更新和IAM訪問政策，能夠有效解決常見本地開發(fā)的痛點，像是程序代碼泄露、隱私風(fēng)險和配置不一致等問題。

Google也在Cloud Code IDE擴展組件添加Source Protect功能，Source Protect能夠在IDE中提供即時安全保護，識別易受攻擊的相依項目和授權(quán)等問題，而借由快速操作和回應(yīng)，可讓開發(fā)人員即時調(diào)整程序代碼，減少未來需要修復(fù)的機會。

在保護軟件供應(yīng)鏈上，企業(yè)普遍使用開源軟件成為具有挑戰(zhàn)性的問題，Software Delivery Shield使DevOps團隊可以在Artifact Registry安全地存儲、管理和保護構(gòu)件，通過集成Container Analysis掃描主動偵測漏洞，Google也在該服務(wù)擴展支持的語言，且除了掃描基礎(chǔ)鏡像文件，還能夠?qū)aven和Go容器，以及非容器化Maven組件進行漏洞掃描。

而Google在5月的時候所推出Assured Open Source Software（Assured OSS）服務(wù)，也成為Software Delivery Shield的重點部分，提供企業(yè)和開發(fā)商經(jīng)Google漏洞檢查和簽章的開源組件。

在CI/CD工作管線上，Cloud Build和Cloud Deploy都具有高精細IAM控制、VPC服務(wù)控制、隔離和臨時環(huán)境等安全功能，使DevOps人員更好地管理構(gòu)建和部署過程，而對于生產(chǎn)環(huán)境中的應(yīng)用程序，GKE則內(nèi)置新的安全狀態(tài)管理功能，可識別和解決集群中的安全問題，Cloud Run的安全面板則添加顯示SLSA構(gòu)建等級法遵資訊、構(gòu)建出處和已發(fā)現(xiàn)漏洞等供應(yīng)鏈安全資訊。

另外，Software Delivery Shield還具有基于信任的政策引擎，以創(chuàng)建和驗證整個供應(yīng)鏈的信任鏈，Binary Authorization功能提供部署時的安全控制，可以確保GKE和Cloud Run部署受信任的容器鏡像文件，安全團隊可以在開發(fā)過程要求受信任的權(quán)威機構(gòu)映射像檔簽章，并在部署時強制驗證簽章，確保只有經(jīng)過驗證的內(nèi)容，可以集成進構(gòu)建和發(fā)布程序，更嚴格地控制容器環(huán)境。