Security Command Center 的制品安全防护功能可帮助您在整个开发生命周期内识别漏洞,从而为应用开发流程增加一层安全性。
制品安全防护功能具有以下特性和优势:
- 精细的政策控制:根据漏洞类型定义精确的规则,并提供灵活的例外选项。
- 构建时政策执行:将安全检查直接集成到 Artifact Registry 和持续集成/持续交付 (CI/CD) 流水线 中,以便在部署前阻止不安全的映像。
- 高级运行时执行:受益于实时扫描和 安全状况的完整概览。
- 统一的“代码到云”安全图谱 :通过关联构建时间、Artifact Analysis 和运行时扫描的数据,全面了解安全发现结果。
概览
CI/CD 流水线和部署环境通常缺乏自动执行功能来阻止或审核不合规的映像。为了帮助保护应用,必须在构建和部署阶段都一致地应用政策。
强大的政策框架可以帮助您:
- 供应链攻击:主动政策有助于尽早缓解威胁, 防止受损的映像影响您的应用。
- 合规性和治理:通过执行最佳实践(例如防止凭据泄露、阻止存在漏洞的库和维护安全的容器配置)来满足监管要求。
- 减少开发者摩擦:将安全性无缝集成到您的 开发生命周期中,在不影响创新的情况下增强保护。
- 运行时风险:持续的运行时扫描甚至可以在部署后捕获新漏洞,从而提供持续的保护。
制品安全防护功能提供了一个统一的安全框架,用于管理制品在其整个生命周期内的漏洞和其他发现结果。此框架允许在各个阶段进行精细的准入控制,确保只有经过验证的制品才能升级。
制品安全防护功能内置了与 Artifact Registry 和 Google Kubernetes Engine (GKE) 等关键服务的集成。政策还可以包含在 Google 安全基准政策中,并与 App Hub 集成,使团队能够直接从应用设计中心执行安全标准。借助此功能,制品安全防护功能可以在组织政策服务框架中充当强大的约束条件,确保大规模实现一致的安全治理。 Google Cloud
受众群体
制品安全防护功能可以帮助以下利益相关者完成任务:
- 安全管理员:定义和执行安全政策。
- DevOps 或平台工程团队:将制品安全防护功能集成到现有的构建和部署流水线中。
- 应用开发者:使用制品安全防护功能提供的洞见 来修复代码中的安全漏洞。
关键术语和概念
- 常见漏洞和披露 (CVE):公开披露的 计算机安全漏洞,并分配有唯一标识符。这些标识符有助于跟踪漏洞以进行修复。
- 软件物料清单 (SBOM): 软件组件和依赖项的机器可读清单。SBOM 包含有关每个组件的版本、来源和其他相关详细信息。SBOM 可用于识别 CVE 和其他安全风险。
- 制品:软件开发的版本化和验证输出,例如在构建流程中创建的数据或项。
工作流程概览
制品安全防护功能支持三种类型的政策范围:
- CI/CD 平台:Cloud Build、 GitHub Actions 或 Jenkins 流水线
- 注册表:GKE 集群
- 运行时:GKE 集群
如果您计划使用 CI/CD 平台范围,可以使用 CI/CD 集成创建与 CI/CD 环境的 连接器。
配置制品安全防护政策。 您的政策可以包含任何受支持的范围。
系统会针对您的政策运行评估。在评估期间,系统会构建映像并根据您的政策对其进行评估。如果您的政策失败,构建也会失败。然后,DevOps 或应用工程师可以检查失败详情并部署必要的修复程序。
后续步骤
- 了解如何配置制品安全防护政策。