Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Artifact Guard の概要

Security Command Center のアーティファクト保護は、開発ライフサイクル全体で脆弱性を特定することで、アプリケーション開発プロセスにセキュリティレイヤを追加します。

アーティファクトガードには、次の機能とメリットがあります。

きめ細かいポリシー制御: 脆弱性タイプに基づいて正確なルールを定義し、柔軟な例外オプションを使用します。
ビルド時のポリシー適用: セキュリティチェックを Artifact Registry と継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインに直接統合し、安全でないイメージをデプロイ前に停止します。
高度なランタイム適用: リアルタイムスキャンとセキュリティポスチャーの完全な概要を活用します。
統合された「コードからクラウドまで」のセキュリティグラフ: ビルド時間、Artifact Analysis、ランタイムスキャンのデータを関連付けて、セキュリティ検出結果を包括的に把握できます。

概要

CI/CD パイプラインとデプロイ環境には、非準拠イメージをブロックまたは監査するための自動適用が欠けていることがよくあります。アプリケーションを保護するには、ビルドステージとデプロイステージの両方でポリシーを一貫して適用する必要があります。

強力なポリシーフレームワークは、次の点で役立ちます。

サプライチェーン攻撃: 事前対応型のポリシーにより、脅威を早期に軽減し、侵害されたイメージがアプリケーションに影響を与えないようにします。
コンプライアンスとガバナンス: 認証情報の漏洩の防止、脆弱なライブラリのブロック、安全なコンテナ構成の維持などのベストプラクティスを適用して、規制要件を満たします。
デベロッパーの摩擦を軽減する: セキュリティを開発ライフサイクルにシームレスに統合し、イノベーションを妨げることなく保護を強化します。
ランタイムリスク: 継続的なランタイムスキャンにより、デプロイ後でも新しい脆弱性を検出し、継続的な保護を提供します。

アーティファクト保護は、アーティファクトのライフサイクル全体にわたって、アーティファクトの脆弱性やその他の検出結果を管理するための統合セキュリティフレームワークを提供します。このフレームワークにより、さまざまなステージできめ細かいアドミッション制御が可能になり、検証済みのアーティファクトのみが昇格されます。

Artifact Guard は、Artifact Registry や Google Kubernetes Engine（GKE）などの主要なサービスと組み込みで統合されています。ポリシーは Google セキュリティベースラインポリシーに含めて App Hub と統合することもできるため、チームはアプリケーション設計センターからセキュリティ標準を直接適用できます。この機能により、Artifact Guard は Google Cloud 組織のポリシーサービスフレームワーク内の強力な制約として機能し、大規模なセキュリティガバナンスの一貫性を確保できます。

オーディエンス

アーティファクト保護は、次の関係者のタスクに役立ちます。

セキュリティ管理者: セキュリティポリシーを定義して適用します。
DevOps チームまたはプラットフォームエンジニアリングチーム: アーティファクト保護を既存のビルドパイプラインとデプロイパイプラインに統合します。
アプリケーションデベロッパー: アーティファクト保護のインサイトを使用して、コード内のセキュリティの脆弱性を修復します。

主な用語と概念

共通脆弱性識別子（CVE）: 一意の識別子が割り当てられた、公開されているコンピュータセキュリティの脆弱性。これらの識別子は、脆弱性の修復を追跡するのに役立ちます。
ソフトウェア部品構成表（SBOM）: ソフトウェアコンポーネントと依存関係の機械可読なインベントリ。SBOM には、各コンポーネントのバージョン、オリジン、その他の関連情報が含まれます。SBOM を使用して、CVE やその他のセキュリティリスクを特定できます。
アーティファクト: バージョン管理され、検証されたソフトウェア開発の出力（ビルドプロセス中に作成されたデータやアイテムなど）。

大まかなワークフロー

アーティファクト保護は、次の 3 種類のポリシースコープをサポートしています。
- CI/CD プラットフォーム: Cloud Build、GitHub Actions、Jenkins パイプライン
- Registry: GKE クラスタ
- ランタイム: GKE クラスタ
CI/CD プラットフォームスコープを使用する場合は、CI/CD 統合を使用して CI/CD 環境へのコネクタを作成できます。
アーティファクト保護ポリシーを構成する。ポリシーには、サポートされているスコープのいずれかを含めることができます。
評価はポリシーに対して実行されます。評価中に、イメージがビルドされ、ポリシーに対して評価されます。ポリシーが失敗すると、ビルドが失敗します。DevOps エンジニアまたはアプリケーションエンジニアは、失敗の詳細を調べて、必要な修正をデプロイできます。

次のステップ

アーティファクト保護ポリシーを構成する方法を学習する。