Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Présentation d'Artifact Guard

Artifact Guard de Security Command Center ajoute une couche de sécurité à votre processus de développement d'applications en vous aidant à identifier les failles tout au long du cycle de vie du développement.

Artifact Guard offre les fonctionnalités et avantages suivants :

Contrôles précis des règles : définissez des règles précises en fonction des types de failles, avec des options d'exception flexibles.
Application des règles au moment de la compilation : intégrez des vérifications de sécurité directement dans les pipelines Artifact Registry et d'intégration et de livraison continues (CI/CD) pour arrêter les images non sécurisées avant le déploiement.
Application avancée de l'exécution : bénéficiez d'une analyse en temps réel et d'une vue d'ensemble complète de votre stratégie de sécurité.
Graphique de sécurité unifié "du code au cloud" : obtenez une vue globale des résultats de sécurité en corrélant les données des analyses au moment de la compilation et des artefacts, ainsi que des analyses d'exécution.

Présentation

Les pipelines CI/CD et les environnements de déploiement ne disposent souvent pas d'application automatisée pour bloquer ou auditer les images non conformes. Pour sécuriser les applications, les règles doivent être appliquées de manière cohérente lors des phases de compilation et de déploiement.

Un cadre de règles solide peut vous aider dans les domaines suivants :

Attaques de la chaîne d'approvisionnement : les règles proactives permettent d'atténuer les menaces de manière précoce, en empêchant les images compromises d'affecter vos applications.
Conformité et gouvernance : respectez les exigences réglementaires en appliquant les bonnes pratiques, par exemple en empêchant les fuites d'identifiants, en bloquant les bibliothèques vulnérables et en conservant des configurations de conteneurs sécurisées.
Réduisez les frictions pour les développeurs : intégrez la sécurité de manière fluide dans votre cycle de vie de développement, en renforçant la protection sans entraver l'innovation.
Risques d'exécution : l'analyse continue de l'exécution détecte les nouvelles failles même après le déploiement, ce qui assure une protection continue.

Artifact Guard fournit un framework de sécurité unifié pour gérer les failles et autres résultats d'un artefact tout au long de son cycle de vie. Ce framework permet un contrôle d'admission précis à différentes étapes, ce qui garantit que seuls les artefacts validés sont promus.

Artifact Guard est intégré à des services clés tels qu'Artifact Registry et Google Kubernetes Engine (GKE). Les règles peuvent également être incluses dans la règle de référence de sécurité Google et intégrées à App Hub, ce qui permet aux équipes d'appliquer les normes de sécurité directement à partir du centre de conception d'applications. Cette fonctionnalité permet à Artifact Guard de fonctionner comme une contrainte puissante dans le framework du service de règles de l'organisation Google Cloud , ce qui garantit une gouvernance de sécurité cohérente à grande échelle.

Audience

Artifact Guard peut aider les parties prenantes dans les tâches suivantes :

Administrateurs de la sécurité : définissent et appliquent les règles de sécurité.
Équipes DevOps ou d'ingénierie des plates-formes : intégrez artifact guard aux pipelines de compilation et de déploiement existants.
Développeurs d'applications : utilisez les insights d'Artifact Guard pour corriger les failles de sécurité dans le code.

Termes et concepts clés

Failles et expositions courantes (CVE) : faille de sécurité informatique divulguée publiquement et à laquelle est attribué un identifiant unique. Ces identifiants permettent de suivre les failles à corriger.
Nomenclature logicielle (SBOM, software bill of materials) : inventaire lisible par machine des composants logiciels et des dépendances. Une SBOM inclut des informations sur la version, l'origine et d'autres détails pertinents de chaque composant. Les SBOM peuvent être utilisées pour identifier les CVE et d'autres risques de sécurité.
Artefact : résultat validé et versionné du développement logiciel, tel que des données ou un élément créé lors du processus de compilation.

Workflow de haut niveau

Artifact Guard est compatible avec trois types de niveaux de règles :
- Plate-forme CI/CD : Cloud Build, GitHub Actions ou pipelines Jenkins
- Registre : clusters GKE
- Runtime : clusters GKE
Si vous prévoyez d'utiliser le champ d'application de la plate-forme CI/CD, vous pouvez créer des connecteurs vers vos environnements CI/CD à l'aide de l'intégration CI/CD.
Configurez des règles Artifact Guard. Vos règles peuvent inclure l'un des niveaux d'application acceptés.
Les évaluations sont effectuées par rapport à vos règles. Lors d'une évaluation, une image est créée et évaluée par rapport à votre règle. Si votre règle échoue, la compilation échoue. Les ingénieurs DevOps ou d'application peuvent ensuite examiner les détails de l'échec et déployer les correctifs nécessaires.

Étapes suivantes

Découvrez comment configurer des règles Artifact Guard.