Security Command Center 的構件防護功能可協助您在整個開發生命週期中找出安全漏洞,為應用程式開發程序多加一層安全防護。
構件防護功能提供下列功能和優點:
- 精細的政策控制項:根據安全漏洞類型定義精確的規則,並提供彈性的例外狀況選項。
- 建構階段政策強制執行:直接將安全性檢查整合至 Artifact Registry 和持續整合/持續推送軟體更新 (CI/CD) 管道,在部署前停止不安全的映像檔。
- 進階執行階段強制執行:即時掃描,全面掌握資安態勢。
- 整合式「程式碼到雲端」安全圖譜:關聯建構時間、Artifact Analysis 和執行階段掃描的資料,全面掌握安全發現項目。
總覽
CI/CD pipeline 和部署環境通常缺乏自動強制執行功能,無法封鎖或稽核不符規定的映像檔。為確保應用程式安全無虞,您必須在建構和部署階段,一致套用政策。
健全的政策架構有助於:
- 供應鏈攻擊:主動式政策有助於及早防範威脅,避免遭入侵的映像檔影響應用程式。
- 法規遵循與管理:強制執行最佳做法,例如防止憑證外洩、封鎖有安全漏洞的程式庫,以及維護安全的容器設定,以符合法規要求。
- 減少開發人員的阻礙:將安全性無縫整合至開發生命週期,在不影響創新的情況下提升保護力。
- 執行階段風險:持續執行階段掃描可偵測新安全漏洞,即使在部署後也能提供持續保護。
構件防護機制提供統一的安全架構,可在構件的整個生命週期中,管理構件的安全性弱點和其他發現項目。這個架構可在各個階段進行精細的准入控制,確保只有經過驗證的構件會升級。
構件防護機制已內建與 Artifact Registry 和 Google Kubernetes Engine (GKE) 等重要服務的整合功能。政策也可以納入 Google 安全性基準政策,並與 App Hub 整合,讓團隊直接從應用程式設計中心強制執行安全性標準。這項功能可讓構件防護機制在 Google Cloud 機構政策服務架構中發揮強大的限制作用,確保大規模安全控管作業的一致性。
目標對象
構件防護功能可協助利害關係人執行下列工作:
- 安全管理員:定義及強制執行安全政策。
- DevOps 或平台工程團隊:將構件防護措施整合至現有的建構和部署管道。
- 應用程式開發人員:運用構件防護措施提供的洞察資訊,修正程式碼中的安全漏洞。
重要詞彙與概念
- 常見安全漏洞與弱點 (CVE):公開揭露的電腦安全漏洞,並獲派專屬 ID。這些 ID 有助於追蹤安全漏洞,以便進行修正。
- 軟體物料清單 (SBOM):機器可讀的軟體元件和依附元件清單。SBOM 包含每個元件的版本、來源和其他相關詳細資料。SBOM 可用於找出 CVE 和其他安全風險。
- 構件:軟體開發的經過驗證輸出內容,例如在建構程序中建立的資料或項目。
高階工作流程
構件防護支援三種政策範圍:
- CI/CD 平台:Cloud Build、GitHub Actions 或 Jenkins 管道
- 登錄:GKE 叢集
- 執行階段:GKE 叢集
如果您打算使用 CI/CD 平台範圍,可以透過 CI/CD 整合,為 CI/CD 環境建立連接器。
設定構件防護政策。 政策可包含任何支援的範圍。
評估作業會根據您的政策執行。評估期間,系統會建構映像檔,並根據您的政策進行評估。如果政策失敗,建構就會失敗。DevOps 或應用程式工程師隨後可以檢查失敗詳細資料,並部署必要的修正程式。
後續步驟
- 瞭解如何設定構件防護政策。