Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan perlindungan artefak

Perlindungan artefak Security Command Center menambahkan lapisan keamanan pada proses pengembangan aplikasi Anda dengan membantu Anda mengidentifikasi kerentanan di sepanjang siklus proses pengembangan.

Penjaga artefak menawarkan fitur dan manfaat berikut:

Kontrol kebijakan terperinci: Tentukan aturan yang tepat berdasarkan jenis kerentanan, dengan opsi pengecualian yang fleksibel.
Penerapan kebijakan waktu build: Integrasikan pemeriksaan keamanan langsung ke dalam pipeline Continuous Integration/Continuous Delivery (CI/CD) dan Artifact Registry untuk menghentikan image yang tidak aman sebelum deployment.
Penerapan runtime lanjutan: Manfaatkan pemindaian real-time dan ringkasan lengkap postur keamanan Anda.
Grafik keamanan "kode ke cloud" terpadu: Dapatkan tampilan holistik temuan keamanan dengan mengorelasikan data dari waktu build, analisis artefak, dan pemindaian runtime.

Ringkasan

Pipeline CI/CD dan lingkungan deployment sering kali tidak memiliki penegakan otomatis untuk memblokir atau mengaudit image yang tidak mematuhi kebijakan. Untuk membantu mengamankan aplikasi, kebijakan harus diterapkan secara konsisten pada tahap build dan deployment.

Framework kebijakan yang kuat dapat membantu hal berikut:

Serangan supply chain: Kebijakan proaktif membantu memitigasi ancaman sejak dini, sehingga mencegah gambar yang disusupi memengaruhi aplikasi Anda.
Kepatuhan dan tata kelola: Penuhi tuntutan peraturan dengan menerapkan praktik terbaik seperti mencegah kebocoran kredensial, memblokir library yang rentan, dan mempertahankan konfigurasi penampung yang aman.
Mengurangi hambatan developer: Integrasikan keamanan dengan lancar ke dalam siklus proses pengembangan Anda, sehingga meningkatkan perlindungan tanpa menghambat inovasi.
Risiko runtime: Pemindaian runtime berkelanjutan mendeteksi kerentanan baru bahkan setelah deployment, sehingga memberikan perlindungan berkelanjutan.

Perlindungan artefak menyediakan framework keamanan terpadu untuk mengelola kerentanan artefak dan temuan lainnya di sepanjang siklus prosesnya. Framework ini memungkinkan kontrol penerimaan terperinci di berbagai tahap, sehingga memastikan hanya artefak terverifikasi yang dipromosikan.

Perlindungan artefak memiliki integrasi bawaan dengan layanan utama seperti Artifact Registry dan Google Kubernetes Engine (GKE). Kebijakan juga dapat disertakan dalam Kebijakan Standar Keamanan Google dan diintegrasikan dengan App Hub, sehingga tim dapat menerapkan standar keamanan langsung dari pusat desain aplikasi. Kemampuan ini memungkinkan penjaga artefak berfungsi sebagai batasan yang efektif dalam framework Google Cloud Organization Policy Service, sehingga memastikan tata kelola keamanan yang konsisten dalam skala besar.

Audiens

Perlindungan artefak dapat membantu tugas pemangku kepentingan berikut:

Administrator Keamanan: Menentukan dan menerapkan kebijakan keamanan.
Tim DevOps atau Platform Engineering: Integrasikan penjaga artefak ke dalam pipeline build dan deployment yang ada.
Developer Aplikasi: Menggunakan insight dari penjaga artefak untuk memperbaiki kerentanan keamanan dalam kode.

Istilah dan konsep utama

Common Vulnerabilities and Exposures (CVE): Kerentanan keamanan komputer yang diungkapkan secara publik dan diberi ID unik. ID ini membantu melacak kerentanan untuk perbaikan.
Software Bill of Materials (SBOM): Inventaris yang dapat dibaca mesin untuk komponen dan dependensi software. SBOM mencakup informasi tentang versi, asal, dan detail relevan lainnya dari setiap komponen. SBOM dapat digunakan untuk mengidentifikasi CVE dan risiko keamanan lainnya.
Artefak: Output pengembangan software yang diberi versi dan divalidasi, seperti data atau item yang dibuat selama proses build.

Alur kerja tingkat tinggi

Perlindungan artefak mendukung tiga jenis cakupan kebijakan:
- Platform CI/CD: Cloud Build, GitHub Actions, atau pipeline Jenkins
- Registry: Cluster GKE
- Runtime: Cluster GKE
Jika berencana menggunakan cakupan platform CI/CD, Anda dapat membuat konektor ke lingkungan CI/CD menggunakan integrasi CI/CD.
Mengonfigurasi kebijakan perlindungan artefak. Kebijakan Anda dapat mencakup salah satu cakupan yang didukung.
Evaluasi dijalankan terhadap kebijakan Anda. Selama evaluasi, gambar dibuat dan dievaluasi berdasarkan kebijakan Anda. Jika kebijakan Anda gagal, build akan gagal. Engineer DevOps atau aplikasi kemudian dapat memeriksa detail kegagalan dan men-deploy perbaikan yang diperlukan.

Langkah berikutnya

Pelajari cara mengonfigurasi kebijakan perlindungan artefak.