Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica di Protezione artefatti

La protezione artefatti di Security Command Center aggiunge un livello di sicurezza al processo di sviluppo delle applicazioni aiutandoti a identificare le vulnerabilità durante il ciclo di vita dello sviluppo.

Protezione artefatti offre le seguenti funzionalità e vantaggi:

Controlli granulari dei criteri: definisci regole precise in base ai tipi di vulnerabilità, con opzioni di eccezione flessibili.
Applicazione forzata delle policy in fase di build: integra i controlli di sicurezza direttamente nelle pipeline di Artifact Registry e di integrazione continua/distribuzione continua (CI/CD) per bloccare le immagini non sicure prima del deployment.
Applicazione avanzata in fase di runtime: usufruisci della scansione in tempo reale e di una panoramica completa della tua strategia di sicurezza.
Grafico di sicurezza unificato "code to cloud": ottieni una visione olistica dei risultati di sicurezza mettendo in correlazione i dati di tempo di compilazione, Artifact Analysis e scansioni runtime.

Panoramica

Le pipeline CI/CD e gli ambienti di deployment spesso non dispongono di un'applicazione automatizzata per bloccare o controllare le immagini non conformi. Per proteggere le applicazioni, le norme devono essere applicate in modo coerente sia nelle fasi di build che di deployment.

Un framework di criteri efficace può aiutarti a:

Attacchi alla catena di fornitura: i criteri proattivi contribuiscono a mitigare le minacce in anticipo, impedendo alle immagini compromesse di influire sulle tue applicazioni.
Conformità e governance: soddisfa i requisiti normativi applicando best practice come la prevenzione della divulgazione delle credenziali, il blocco delle librerie vulnerabili e il mantenimento di configurazioni sicure dei container.
Ridurre l'attrito per gli sviluppatori: integra la sicurezza senza problemi nel ciclo di vita di sviluppo, migliorando la protezione senza ostacolare l'innovazione.
Rischi di runtime: la scansione continua del runtime rileva nuove vulnerabilità anche dopo il deployment, fornendo una protezione continua.

Protezione artefatti fornisce un framework di sicurezza unificato per gestire le vulnerabilità e altri risultati di un artefatto durante il suo ciclo di vita. Questo framework consente un controllo granulare dell'ammissione in varie fasi, garantendo che vengano promossi solo artefatti verificati.

Protezione artefatti è integrato con servizi chiave come Artifact Registry e Google Kubernetes Engine (GKE). Le policy possono essere incluse anche nella policy di base per la sicurezza di Google e integrate con App Hub, consentendo ai team di applicare gli standard di sicurezza direttamente dal centro di progettazione delle applicazioni. Questa funzionalità consente a Protezione artefatti di funzionare come un potente vincolo all'interno del framework del servizio criteri dell'organizzazione Google Cloud , garantendo una governance della sicurezza coerente su larga scala.

Pubblico

Protezione artefatti può aiutarti con le seguenti attività degli stakeholder:

Amministratori della sicurezza: definiscono e applicano le policy di sicurezza.
Team DevOps o di platform engineering: integra la protezione artefatti nelle pipeline di build e deployment esistenti.
Sviluppatori di applicazioni: utilizza gli insight di protezione artefatti per correggere le vulnerabilità di sicurezza all'interno del codice.

Termini e concetti chiave

Vulnerabilità ed esposizioni comuni (CVE): una vulnerabilità di sicurezza informatica divulgata pubblicamente a cui viene assegnato un identificatore univoco. Questi identificatori aiutano a monitorare le vulnerabilità per la correzione.
Software Bill of Materials (SBOM): una distinta base leggibile da una macchina di componenti software e dipendenze. Una SBOM include informazioni su versione, origine e altri dettagli pertinenti di ogni componente. Le SBOM possono essere utilizzate per identificare CVE e altri rischi per la sicurezza.
Artefatto: un output con controllo delle versioni e convalidato dello sviluppo software, ad esempio dati o un elemento creato durante il processo di compilazione.

Workflow di alto livello

Protezione artefatti supporta tre tipi di ambiti delle policy:
- Piattaforma CI/CD: Cloud Build, GitHub Actions o pipeline Jenkins
- Registro: cluster GKE
- Runtime: cluster GKE
Se prevedi di utilizzare l'ambito della piattaforma CI/CD, puoi creare connettori per i tuoi ambienti CI/CD utilizzando l'integrazione CI/CD.
Configura le policy di protezione artefatti. Le tue policy possono includere uno qualsiasi degli ambiti supportati.
Le valutazioni vengono eseguite in base alle tue norme. Durante una valutazione, viene creata un'immagine e valutata in base alle tue norme. Se il criterio non viene rispettato, la build non riesce. Gli ingegneri DevOps o delle applicazioni possono quindi esaminare i dettagli dell'errore e implementare le correzioni necessarie.

Passaggi successivi

Scopri come configurare le policy di protezione artefatti.