Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan perlindungan artefak

Penjaga artefak Security Command Center menambahkan lapisan keamanan ke proses pengembangan aplikasi Anda dengan membantu Anda mengidentifikasi kerentanan di seluruh siklus proses pengembangan.

Penjaga artefak menawarkan fitur dan manfaat berikut:

Kontrol kebijakan terperinci: Menentukan aturan yang tepat berdasarkan jenis kerentanan, dengan opsi pengecualian yang fleksibel.
Penerapan kebijakan waktu build: Mengintegrasikan pemeriksaan keamanan langsung ke dalam pipeline Artifact Registry dan Continuous Integration/Continuous Delivery (CI/CD) untuk menghentikan image yang tidak aman sebelum deployment.
Penerapan runtime lanjutan: Mendapatkan manfaat dari pemindaian real-time dan ringkasan lengkap postur keamanan Anda.
Grafik keamanan "kode ke cloud" terpadu: Mendapatkan tampilan holistik temuan keamanan dengan mengorelasikan data dari waktu build, analisis artefak, dan pemindaian runtime.

Ringkasan

Pipeline CI/CD dan lingkungan deployment sering kali tidak memiliki penerapan otomatis untuk memblokir atau mengaudit image yang tidak sesuai. Untuk membantu mengamankan aplikasi, kebijakan harus diterapkan secara konsisten pada tahap build dan deployment.

Framework kebijakan yang kuat dapat membantu hal berikut:

Serangan rantai pasokan: Kebijakan proaktif membantu mengurangi ancaman sejak awal, mencegah image yang terkompromi memengaruhi aplikasi Anda.
Kepatuhan dan tata kelola: Memenuhi tuntutan peraturan dengan menerapkan praktik terbaik seperti mencegah kebocoran kredensial, memblokir library yang rentan, dan mempertahankan konfigurasi container yang aman.
Mengurangi gesekan developer: Mengintegrasikan keamanan dengan lancar ke dalam siklus proses pengembangan Anda, meningkatkan perlindungan tanpa menghambat inovasi.
Risiko runtime: Pemindaian runtime berkelanjutan menangkap kerentanan baru bahkan setelah deployment, sehingga memberikan perlindungan berkelanjutan.

Penjaga artefak menyediakan framework keamanan terpadu untuk mengelola kerentanan artefak dan temuan lainnya di seluruh siklus prosesnya. Framework ini memungkinkan kontrol penerimaan terperinci pada berbagai tahap, sehingga hanya artefak yang terverifikasi yang dipromosikan.

Penjaga artefak memiliki integrasi bawaan dengan layanan utama seperti Artifact Registry dan Google Kubernetes Engine (GKE). Kebijakan juga dapat disertakan dalam Kebijakan Dasar Keamanan Google dan diintegrasikan dengan App Hub, sehingga tim dapat menerapkan standar keamanan langsung dari pusat desain aplikasi. Kemampuan ini memungkinkan penjaga artefak berfungsi sebagai batasan yang kuat dalam framework Google Cloud Layanan Kebijakan Organisasi, sehingga memastikan tata kelola keamanan yang konsisten dalam skala besar.

Audiens

Penjaga artefak dapat membantu tugas pemangku kepentingan berikut:

Administrator Keamanan: Menentukan dan menerapkan kebijakan keamanan.
Tim DevOps atau Platform Engineering: Mengintegrasikan penjaga artefak ke dalam pipeline build dan deployment yang ada.
Developer Aplikasi: Menggunakan insight dari penjaga artefak untuk memperbaiki kerentanan keamanan dalam kode.

Istilah dan konsep utama

Common Vulnerabilities and Exposures (CVE): Kerentanan keamanan komputer yang diungkapkan secara publik dan diberi ID unik. ID ini membantu melacak kerentanan untuk perbaikan.
Software Bill of Materials (SBOM): Inventaris komponen dan dependensi software yang dapat dibaca mesin. SBOM mencakup informasi tentang versi, asal, dan detail relevan lainnya dari setiap komponen. SBOM dapat digunakan untuk mengidentifikasi CVE dan risiko keamanan lainnya.
Artefak: Output pengembangan software yang diberi versi dan divalidasi, seperti data atau item yang dibuat selama proses build.

Alur kerja tingkat tinggi

Penjaga artefak mendukung tiga jenis cakupan kebijakan:
- Platform CI/CD: Pipeline Cloud Build, GitHub Actions, atau Jenkins
- Registry: Cluster GKE
- Runtime: Cluster GKE
Jika berencana menggunakan cakupan platform CI/CD, Anda dapat membuat konektor ke lingkungan CI/CD menggunakan integrasi CI/CD.
Mengonfigurasi kebijakan penjaga artefak. Kebijakan Anda dapat mencakup cakupan yang didukung.
Evaluasi dijalankan terhadap kebijakan Anda. Selama evaluasi, image dibuat dan dievaluasi terhadap kebijakan Anda. Jika kebijakan Anda gagal, build akan gagal. Engineer DevOps atau aplikasi kemudian dapat memeriksa detail kegagalan dan men-deploy perbaikan yang diperlukan.

Langkah berikutnya

Pelajari cara mengonfigurasi kebijakan penjaga artefak.