Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica di Protezione artefatti

La protezione artefatti di Security Command Center aggiunge un livello di sicurezza al processo di sviluppo delle applicazioni aiutandoti a identificare le vulnerabilità durante il ciclo di vita dello sviluppo.

Protezione artefatti offre le seguenti funzionalità e i seguenti vantaggi:

Controlli dei criteri granulari: definisci regole precise in base ai tipi di vulnerabilità, con opzioni di eccezione flessibili.
Applicazione forzata dei criteri in fase di build: integra i controlli di sicurezza direttamente in Artifact Registry e nelle pipeline di integrazione continua/distribuzione continua (CI/CD) per bloccare le immagini non sicure prima del deployment.
Applicazione forzata avanzata in fase di runtime: approfitta della scansione in tempo reale e di una panoramica completa della tua strategia di sicurezza.
Grafico di sicurezza unificato "dal codice al cloud": ottieni una visione olistica dei risultati di sicurezza correlando i dati provenienti dalla fase di build, dall'analisi degli artefatti e dalle scansioni in fase di runtime.

Panoramica

Le pipeline CI/CD e gli ambienti di deployment spesso non dispongono di un'applicazione forzata automatizzata per bloccare o controllare le immagini non conformi. Per proteggere le applicazioni, le policy devono essere applicate in modo coerente sia nelle fasi di build che di deployment.

Un framework di policy efficace può aiutarti a:

Attacchi alla catena di fornitura: le policy proattive aiutano a mitigare le minacce in anticipo, impedendo alle immagini compromesse di influire sulle tue applicazioni.
Conformità e governance: soddisfa i requisiti normativi applicando le best practice, ad esempio impedendo le perdite di credenziali, bloccando le librerie vulnerabili e mantenendo configurazioni sicure dei container.
Ridurre le difficoltà per gli sviluppatori: integra la sicurezza senza problemi nel ciclo di vita dello sviluppo, migliorando la protezione senza ostacolare l'innovazione.
Rischi in fase di runtime: la scansione continua in fase di runtime rileva nuove vulnerabilità anche dopo il deployment, fornendo una protezione continua.

Protezione artefatti fornisce un framework di sicurezza unificato per gestire le vulnerabilità e altri risultati di un artefatto durante il suo ciclo di vita. Questo framework consente un controllo di ammissione granulare in varie fasi, garantendo che vengano promossi solo gli artefatti verificati.

La protezione artefatti è integrata in modo nativo con servizi chiave come Artifact Registry e Google Kubernetes Engine (GKE). Le policy possono essere incluse anche nella policy di base di sicurezza di Google e integrate con App Hub, consentendo ai team di applicare gli standard di sicurezza direttamente dal centro di progettazione delle applicazioni. Questa funzionalità consente a Protezione artefatti di fungere da vincolo efficace all'interno del Google Cloud framework del servizio Policy dell'organizzazione, garantendo una governance della sicurezza coerente su larga scala.

Pubblico

Protezione artefatti può aiutare le seguenti parti interessate a svolgere le seguenti attività:

Amministratori della sicurezza: definisci e applica le policy di sicurezza.
Team DevOps o di platform engineering: integra la protezione artefatti nelle pipeline di build e deployment esistenti.
Sviluppatori di applicazioni: utilizza gli insight di protezione artefatti per correggere le vulnerabilità di sicurezza all'interno del codice.

Termini e concetti chiave

Vulnerabilità ed esposizioni comuni (CVE): una vulnerabilità di sicurezza informatica divulgata pubblicamente a cui viene assegnato un identificatore univoco. Questi identificatori aiutano a monitorare le vulnerabilità per la correzione.
Software Bill of Materials (SBOM): una distinta base software leggibile da una macchina dei componenti software e delle dipendenze. Un SBOM include informazioni sulla versione, l'origine e altri dettagli pertinenti di ogni componente. Gli SBOM possono essere utilizzati per identificare CVE e altri rischi per la sicurezza.
Artefatto: un output con controllo delle versioni e convalidato dello sviluppo software, ad esempio dati o un elemento creato durante il processo di compilazione.

Workflow di alto livello

Protezione artefatti supporta tre tipi di ambiti delle policy:
- Piattaforma CI/CD: pipeline Cloud Build, GitHub Actions o Jenkins
- Registro: cluster GKE
- Runtime: cluster GKE
Se prevedi di utilizzare l'ambito della piattaforma CI/CD, puoi creare connettori agli ambienti CI/CD utilizzando l'integrazione CI/CD.
Configura le policy di protezione artefatti. Le policy possono includere uno qualsiasi degli ambiti supportati.
Le valutazioni vengono eseguite in base alle policy. Durante una valutazione, viene creata un'immagine e valutata in base alla policy. Se la policy non viene rispettata, la build non riesce. Gli ingegneri DevOps o delle applicazioni possono quindi esaminare i dettagli dell'errore e implementare le correzioni necessarie.

Passaggi successivi

Scopri come configurare le policy di protezione artefatti.