Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral da proteção de artefatos

O Artifact Guard do Security Command Center adiciona uma camada de segurança ao processo de desenvolvimento de aplicativos, ajudando a identificar vulnerabilidades durante todo o ciclo de vida de desenvolvimento.

O Artifact Guard oferece os seguintes recursos e benefícios:

Controles de políticas granulares: defina regras precisas com base em tipos de vulnerabilidade, com opções de exceção flexíveis.
Aplicação de políticas no momento do build: integre verificações de segurança diretamente ao Artifact Registry e aos pipelines de integração contínua/entrega contínua (CI/CD) para interromper imagens não seguras antes da implantação.
Aplicação avançada de ambiente de execução: aproveite a verificação em tempo real e uma visão geral completa da sua postura de segurança.
Gráfico de segurança unificado "do código à nuvem": tenha uma visão geral das descobertas de segurança correlacionando dados do tempo de build, da análise de artefatos e das verificações de ambiente de execução.

Visão geral

Os pipelines de CI/CD e os ambientes de implantação geralmente não têm aplicação automatizada para bloquear ou auditar imagens não conformes. Para ajudar a proteger aplicativos, as políticas precisam ser aplicadas de maneira consistente nas fases de build e implantação.

Uma estrutura de política forte pode ajudar com o seguinte:

Ataques à cadeia de suprimentos: as políticas proativas ajudam a mitigar ameaças antecipadamente, impedindo que imagens comprometidas afetem seus aplicativos.
Conformidade e governança: atenda às demandas regulatórias aplicando práticas recomendadas, como impedir vazamentos de credenciais, bloquear bibliotecas vulneráveis e manter configurações de contêiner seguras.
Reduza o atrito do desenvolvedor: integre a segurança ao ciclo de vida de desenvolvimento, aprimorando a proteção sem prejudicar a inovação.
Riscos de ambiente de execução: a verificação contínua do ambiente de execução detecta novas vulnerabilidades mesmo após a implantação, oferecendo proteção contínua.

O Artifact Guard fornece uma estrutura de segurança unificada para gerenciar as vulnerabilidades de um artefato e outras descobertas durante todo o ciclo de vida dele. Essa estrutura permite o controle de admissão granular em várias fases, garantindo que apenas artefatos verificados sejam promovidos.

O Artifact Guard tem integração integrada com serviços importantes, como o Artifact Registry e o Google Kubernetes Engine (GKE). As políticas também podem ser incluídas na Política de referência de segurança do Google e integradas ao App Hub, permitindo que as equipes apliquem padrões de segurança diretamente do centro de design de aplicativos. Esse recurso permite que o Artifact Guard funcione como uma restrição poderosa na estrutura do Google Cloud serviço de políticas da organização, garantindo uma governança de segurança consistente em escala.

Público-alvo

O Artifact Guard pode ajudar com as seguintes tarefas das partes interessadas:

Administradores de segurança: definem e aplicam políticas de segurança.
Equipes de DevOps ou engenharia de plataforma: integram o Artifact Guard aos pipelines de build e implantação atuais.
Desenvolvedores de aplicativos: usam os insights do Artifact Guard para corrigir vulnerabilidades de segurança no código.

Principais termos e conceitos

Vulnerabilidades e exposições comuns (CVE): uma vulnerabilidade de segurança de computador divulgada publicamente que recebe um identificador exclusivo. Esses identificadores ajudam a rastrear vulnerabilidades para correção.
Lista de materiais de software (SBOM): um inventário legível por máquina de componentes e dependências de software. Uma SBOM inclui informações sobre a versão, a origem e outros detalhes relevantes de cada componente. As SBOMs podem ser usadas para identificar CVEs e outros riscos de segurança.
Artefato: uma saída versionada e validada de desenvolvimento de software, como dados ou um item criado durante o processo de build.

Fluxo de trabalho de alto nível

O Artifact Guard oferece suporte a três tipos de escopos de política:
- Plataforma de CI/CD: pipelines do Cloud Build, GitHub Actions ou Jenkins
- Registro: clusters do GKE
- Ambiente de execução: clusters do GKE
Se você planeja usar o escopo da plataforma de CI/CD, crie conectores para seus ambientes de CI/CD usando a integração de CI/CD.
Configure as políticas do Artifact Guard. As políticas podem incluir qualquer um dos escopos compatíveis.
As avaliações são executadas em relação às políticas. Durante uma avaliação, uma imagem é criada e avaliada em relação à política. Se a política falhar, o build vai falhar. Os engenheiros de DevOps ou de aplicativos podem examinar os detalhes da falha e implantar as correções necessárias.

A seguir

Saiba como configurar políticas do Artifact Guard.