Security Command Center 的制品安全防护功能可帮助您在整个开发生命周期内识别漏洞,从而为应用开发流程增加一层安全性。
制品防护功能具有以下特性和优势:
- 精细的政策控制:根据漏洞类型定义精确的规则,并提供灵活的例外选项。
- 构建时政策强制执行:将安全检查直接集成到 Artifact Registry 和持续集成/持续交付 (CI/CD) 流水线中,以便在部署前停止不安全的映像。
- 高级运行时强制执行:受益于实时扫描和全面的安全状况概览。
- 统一的“代码到云”安全图谱:通过关联来自构建时间、Artifact Analysis 和运行时扫描的数据,全面了解安全发现结果。
概览
CI/CD 流水线和部署环境通常缺乏自动强制执行机制来阻止或审核不合规的映像。为了帮助保护应用,必须在构建和部署阶段始终如一地应用政策。
完善的政策框架有助于:
- 供应链攻击:主动政策有助于尽早缓解威胁,防止受损映像影响您的应用。
- 合规性和治理:通过强制执行最佳实践(例如防止凭据泄露、屏蔽存在漏洞的库和维护安全的容器配置)来满足监管要求。
- 减少开发者摩擦:将安全性无缝集成到开发生命周期中,在不影响创新的前提下增强保护。
- 运行时风险:持续的运行时扫描即使在部署后也能发现新漏洞,从而提供持续的保护。
制品防护提供了一个统一的安全框架,用于在制品的整个生命周期内管理其漏洞和其他发现结果。此框架允许在各个阶段进行精细的准入控制,确保只有经过验证的制品才能得到提升。
制品安全防护 与 Artifact Registry 和 Google Kubernetes Engine (GKE) 等关键服务进行了内置集成。政策还可以纳入 Google 安全基准政策并与 App Hub 集成,从而使团队能够直接从 App Design Center 强制执行安全标准。借助此能力,制品安全防护 可在 Google Cloud 组织政策服务框架内充当强大的限制条件,确保大规模实现一致的安全治理。
受众群体
制品安全防护可帮助利益相关方完成以下任务:
- 安全管理员:定义并强制执行安全政策。
- DevOps 或平台工程团队:将制品安全防护集成到现有的构建和部署流水线中。
- 应用开发者:使用制品安全防护提供的分析洞见来修复代码中的安全漏洞。
关键术语和概念
- 常见漏洞和披露 (CVE):公开披露的计算机安全漏洞,具有唯一标识符。这些标识符有助于跟踪漏洞以进行修复。
- 软件物料清单 (SBOM):一种机器可读的软件组件和依赖项清单。SBOM 包含有关每个组件的版本、来源和其他相关详细信息的信息。SBOM 可用于识别 CVE 和其他安全风险。
- 制品:经过版本控制和验证的软件开发输出,例如在构建流程中创建的数据或项目。
高级别工作流程
制品安全防护支持三种类型的政策范围:
- CI/CD 平台:Cloud Build、GitHub Actions 或 Jenkins 流水线
- 注册表:GKE 集群
- 运行时:GKE 集群
如果您计划使用 CI/CD 平台范围,可以使用 CI/CD 集成为 CI/CD 环境创建连接器。
配置制品安全防护政策。您的政策可以包含任何受支持的范围。
评估会根据您的政策运行。在评估期间,系统会构建一个映像并根据您的政策对其进行评估。如果您的政策失败,则构建也会失败。然后,DevOps 或应用工程师可以检查失败的详细信息并部署必要的修复。
后续步骤
- 了解如何配置制品安全防护政策。