Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Descripción general de Artifact Guard

La protección de artefactos de Security Command Center agrega una capa de seguridad a tu proceso de desarrollo de aplicaciones, ya que te ayuda a identificar vulnerabilidades durante todo el ciclo de vida del desarrollo.

La protección de artefactos ofrece las siguientes funciones y beneficios:

Controles de políticas detallados: Define reglas precisas basadas en tipos de vulnerabilidad, con opciones de excepción flexibles.
Aplicación de políticas en el momento de la compilación: Integra verificaciones de seguridad directamente en Artifact Registry y en las canalizaciones de integración continua y entrega continua (CI/CD) para detener las imágenes no seguras antes de la implementación.
Aplicación avanzada en el tiempo de ejecución: Benefíciate de los análisis en tiempo real y de una descripción general completa de tu postura de seguridad.
Gráfico de seguridad unificado "del código a la nube": Obtén una vista integral de los hallazgos de seguridad mediante la correlación de datos del tiempo de compilación, el análisis de artefactos y los análisis del tiempo de ejecución.

Descripción general

Las canalizaciones de CI/CD y los entornos de implementación suelen carecer de aplicación automatizada para bloquear o auditar imágenes que no cumplen con los requisitos. Para ayudar a proteger las aplicaciones, las políticas deben aplicarse de manera coherente en las etapas de compilación y de implementación.

Un marco de políticas sólido puede ayudar con lo siguiente:

Ataques a la cadena de suministro: Las políticas proactivas ayudan a mitigar las amenazas de forma temprana, lo que evita que las imágenes vulneradas afecten tus aplicaciones.
Cumplimiento y administración: Cumple con las demandas reglamentarias aplicando prácticas recomendadas, como evitar las filtraciones de credenciales, bloquear bibliotecas vulnerables y mantener configuraciones de contenedores seguras.
Reduce la fricción de los desarrolladores: Integra la seguridad sin problemas en tu ciclo de vida de desarrollo, lo que mejora la protección sin obstaculizar la innovación.
Riesgos del tiempo de ejecución: El análisis continuo del tiempo de ejecución detecta nuevas vulnerabilidades incluso después de la implementación, lo que proporciona protección continua.

Protección de artefactos proporciona un marco de seguridad unificado para administrar las vulnerabilidades y otros hallazgos de un artefacto durante todo su ciclo de vida. Este marco permite un control de admisión detallado en varias etapas, lo que garantiza que solo se promuevan los artefactos verificados.

La protección de artefactos tiene integración integrada con servicios clave como Artifact Registry y Google Kubernetes Engine (GKE). Las políticas también se pueden incluir en la Política de referencia de seguridad de Google y se pueden integrar con App Hub, lo que permite a los equipos aplicar estándares de seguridad directamente desde el centro de diseño de aplicaciones. Esta capacidad permite que la protección de artefactos funcione como una restricción potente dentro del Google Cloud marco del Servicio de políticas de la organización, lo que garantiza una administración de seguridad coherente a gran escala.

Público

La protección de artefactos puede ayudar con las siguientes tareas de las partes interesadas:

Administradores de seguridad: Definen y aplican políticas de seguridad.
Equipos de DevOps o de ingeniería de plataformas: Integran la protección de artefactos en las canalizaciones de compilación y de implementación existentes.
Desarrolladores de aplicaciones: Usen las observaciones de protección de artefactos para corregir las vulnerabilidades de seguridad dentro del código.

Términos y conceptos clave

Vulnerabilidades y exposiciones comunes (CVE): Es una vulnerabilidad de seguridad informática divulgada públicamente a la que se le asigna un identificador único. Estos identificadores ayudan a hacer un seguimiento de las vulnerabilidades para su corrección.
Lista de materiales de software (SBOM): Es un inventario legible por máquina de los componentes y las dependencias de software. Una SBOM incluye información sobre la versión, el origen y otros detalles relevantes de cada componente. Las SBOM se pueden usar para identificar CVE y otros riesgos de seguridad.
Artefacto: Es un resultado versionado y validado del desarrollo de software, como datos o un elemento creado durante el proceso de compilación.

Flujo de trabajo de alto nivel

Protección de artefactos admite tres tipos de alcances de políticas:
- Plataforma de CI/CD: Canalizaciones de Cloud Build, GitHub Actions o Jenkins
- Registro: Clústeres de GKE
- Tiempo de ejecución: Clústeres de GKE
Si planeas usar el alcance de la plataforma de CI/CD, puedes crear conectores a tus entornos de CI/CD con la integración de CI/CD.
Configura las políticas de protección de artefactos. Tus políticas pueden incluir cualquiera de los alcances admitidos.
Las evaluaciones se ejecutan en función de tus políticas. Durante una evaluación, se compila una imagen y se evalúa en función de tu política. Si falla tu política, falla la compilación. Luego, los ingenieros de DevOps o de aplicaciones pueden examinar los detalles de la falla y aplicar las correcciones necesarias.

¿Qué sigue?

Obtén información para configurar políticas de protección de artefactos.