Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral da proteção de artefatos

A proteção de artefatos do Security Command Center adiciona uma camada de segurança ao processo de desenvolvimento de aplicativos, ajudando a identificar vulnerabilidades durante todo o ciclo de vida de desenvolvimento.

A proteção de artefatos oferece os seguintes recursos e benefícios:

Controles de políticas granulares: defina regras precisas com base em tipos de vulnerabilidade, com opções de exceção flexíveis.
Aplicação de políticas no momento do build: integre verificações de segurança diretamente nos pipelines do Artifact Registry e de integração/entrega contínuas (CI/CD) para interromper imagens não seguras antes da implantação.
Aplicação avançada de ambiente de execução: aproveite a verificação em tempo real e uma visão geral completa da sua postura de segurança.
Gráfico de segurança unificado "do código à nuvem": tenha uma visão holística das descobertas de segurança correlacionando dados do tempo de build, da análise de artefatos e das verificações de ambiente de execução.

Visão geral

Os pipelines de CI/CD e os ambientes de implantação geralmente não têm aplicação automatizada para bloquear ou auditar imagens não conformes. Para ajudar a proteger os aplicativos, as políticas precisam ser aplicadas de maneira consistente nas fases de build e implantação.

Um framework de políticas forte pode ajudar com o seguinte:

Ataques à cadeia de suprimentos: as políticas proativas ajudam a mitigar ameaças desde o início, impedindo que imagens comprometidas afetem seus aplicativos.
Conformidade e governança: atenda às demandas regulatórias aplicando práticas recomendadas, como impedir vazamentos de credenciais, bloquear bibliotecas vulneráveis e manter configurações de contêiner seguras.
Reduza o atrito do desenvolvedor: integre a segurança ao ciclo de vida de desenvolvimento, aprimorando a proteção sem prejudicar a inovação.
Riscos de ambiente de execução: a verificação contínua do ambiente de execução detecta novas vulnerabilidades mesmo após a implantação, oferecendo proteção contínua.

A proteção de artefatos oferece um framework de segurança unificado para gerenciar as vulnerabilidades e outras descobertas de um artefato durante todo o ciclo de vida. Esse framework permite o controle de admissão granular em várias fases, garantindo que apenas artefatos verificados sejam promovidos.

A proteção de artefatos tem integração integrada com serviços importantes, como o Artifact Registry e o Google Kubernetes Engine (GKE). As políticas também podem ser incluídas na Política de referência de segurança do Google e integradas ao App Hub, permitindo que as equipes apliquem padrões de segurança diretamente do centro de design de aplicativos. Esse recurso permite que a proteção de artefatos funcione como uma restrição poderosa no Google Cloud framework do Organization Policy Service, garantindo uma governança de segurança consistente em escala.

Público-alvo

A proteção de artefatos pode ajudar com as seguintes tarefas das partes interessadas:

Administradores de segurança: definem e aplicam políticas de segurança.
Equipes de DevOps ou engenharia de plataforma: integram a proteção de artefatos aos pipelines de build e implantação atuais.
Desenvolvedores de aplicativos: usam os insights da proteção de artefatos para corrigir vulnerabilidades de segurança no código.

Principais termos e conceitos

Vulnerabilidades e exposições comuns (CVE): uma vulnerabilidade de segurança de computador divulgada publicamente que recebe um identificador exclusivo. Esses identificadores ajudam a rastrear vulnerabilidades para correção.
Lista de materiais de software (SBOM): um inventário legível por máquina de componentes e dependências de software. Uma SBOM inclui informações sobre a versão, a origem e outros detalhes relevantes de cada componente. As SBOMs podem ser usadas para identificar CVEs e outros riscos de segurança.
Artefato: uma saída versionada e validada de desenvolvimento de software, como dados ou um item criado durante o processo de build.

Fluxo de trabalho de alto nível

A proteção de artefatos oferece suporte a três tipos de escopos de política:
- Plataforma de CI/CD: pipelines do Cloud Build, GitHub Actions ou Jenkins
- Registro: clusters do GKE
- Ambiente de execução: clusters do GKE
Se você planeja usar o escopo da plataforma de CI/CD, crie conectores para seus ambientes de CI/CD usando a integração de CI/CD.
Configure as políticas de proteção de artefatos. As políticas podem incluir qualquer um dos escopos compatíveis.
As avaliações são executadas em relação às políticas. Durante uma avaliação, uma imagem é criada e avaliada em relação à política. Se a política falhar, o build vai falhar. Os engenheiros de DevOps ou de aplicativos podem examinar os detalhes da falha e implantar as correções necessárias.

A seguir

Saiba como configurar políticas de proteção de artefatos.