谷歌云發布重磅安全產品，逆轉軟件供應鏈領域攻防形勢

從BeyondCorp、sigstore、SLSA到軟件交付護盾，谷歌在軟件供應鏈安全上已經沉淀了較體系化的安全保護架構。

10月12日消息，谷歌云宣布推出軟件供應鏈端到端保護產品Software Delivery Shield，旨在加強企業應對激增的軟件供應鏈攻擊的能力。

Software Delivery Shield可以在整個開發生命周期加強軟件供應鏈安全，包括增強開發環境的應用安全、提升應用的映像和依賴項安全、加強CI/CD管道安全、保護應用運行時安全、在安全開發生命周期（SDLC）內實施基于信任的安全策略等。

 回應軟件供應鏈安全的呼聲

多年以來，谷歌一直與開發者社區、公共部門及各合作伙伴攜手，建立起多種行業范圍內的標準與框架，并憑借軟件工件供應鏈級別（SLSA）等成果努力增強軟件供應鏈安全性。去年，作為谷歌公司百億美元推進網絡安全倡議的一部分，該公司承諾為各類被全球公共基礎設施及企業廣泛應用的關鍵開源組件提供保護。

為了進一步幫助用戶提高軟件供應鏈安全性，谷歌正式推出了Software Delivery Shield。這是一套完全托管的軟件供應鏈安全解決方案，包含一組模塊化功能，可以為開發者、DevOps及安全團隊配備構建安全云應用所必需的各類工具。

Software Delivery Shield涵蓋開發者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服務，從開發者工具到運行時選項無所不包。

Software Delivery Shield包含的功能橫跨五大領域，旨在解決軟件供應鏈中的種種安全問題。這五大領域分別為：應用程序開發、軟件供應環節、持續集成與持續交付（CI/CD）、生產環境、策略。

Software Delivery Shield還允許用戶逐步落地其實施路徑，因此組織可以根據自身特定需求進行方案定制，根據現有環境和安全優先級先選擇一部分關鍵工具。

 快速安全搞開發

為了從開發起步階段就協助保護軟件，Google Cloud Next的預覽版中引入了一項新服務：Cloud Workstations，這是一套立足谷歌云的完全托管開發環境。借助Cloud Workstations，開發者們可以隨時隨地通過瀏覽器訪問到安全、快速且可定制的開發環境，并獲得一致的配置與定制化工具。同時，IT和安全管理員可以輕松配置、擴展、管理和保護這些運行在谷歌云基礎設施上的開發環境。

作為Software Delivery Shield產品的關鍵組件，Cloud Workstations負責增強應用程序開發環境的安全態勢，因而在“安全左移”上發揮著關鍵作用。借助VPC服務控制、無源代碼本地存儲、私有入口/出口、強制鏡像更新和IAM訪問策略等內置安全措施，Cloud Workstations有助于解決代碼泄露、隱私風險、配置不一致等各類常見的本地開發安全痛點。

除了通過Cloud Workstations幫助保護開發環境之外，谷歌還為開發者提供工具，讓他們在自己的筆記本電腦上快速安全進行編碼。Cloud Code是谷歌的IDE插件系列，目前已經提供Source Protect插件的預覽版。Source Protect能夠在IDE中為開發者實時提供安全反饋，識別易受攻擊的依賴項，報告許可證信息等。這種快速、可操作的反饋能幫助開發者及時更正當前代碼，盡可能削減成本高昂的事后修復需求。

  保衛軟件“供應”

提高軟件供應鏈安全性的另一個關鍵步驟，當數保衛軟件供應——也就是構建工具與應用程序依賴項。隨著開源軟件的快速普及，這個問題正變得越來越棘手。

在與廣泛社區合作建立指導方針和框架，借以提高整體開源安全性的同時，谷歌還提供更多服務以幫助直接克服這一挑戰。今年5月，谷歌推出了可信開源軟件（Assured OSS）服務，目前尚處于預覽階段。

Assured OSS是谷歌的首個“策劃”開源項目，相當于在大家熟知的免費和“原樣”開源之上添加了一個問責層。作為Software Delivery Shield解決方案中的關鍵組成部分，Assured OSS提供已經由谷歌完成挑選和審查的開源軟件包。這些軟件包被部署在安全管道之內，并定期接受漏洞掃描、分析和模糊測試。

使用Assured OSS，安全團隊將可以肯定其開發人員使用的開源依賴項已經通過了審查。該服務目前涵蓋250個Java及Python精選包，且全部經過驗證。它會自動生成軟件物料清單（SBOM），即應用程序開發和交付中所涉及的一切組件和依賴項清單，用以識別存在潛在風險的各類元素。

借助Software Delivery Shield，DevOps團隊能夠在Artifact Registry中存儲、管理和保護各類構建工件，還能通過Container Analysis提供的多語言包集成掃描主動檢測漏洞。除了掃描基礎鏡像之外，Container Analysis（目前為預覽版）現在還能對Maven及Go容器，以及非容器化Maven包執行推送時掃描。

  鎖定CI/CD管道

惡意黑客可能會破壞CI/CD管道以攻擊軟件供應鏈。因此，谷歌才一直努力加強完全托管CI平臺Cloud Build和CD平臺Cloud Deploy。作為Software Delivery Shield解決方案中的關鍵組件，這兩大平臺都包含內置安全功能，包括粒度IAM控制、VPC服務控制、隔離與臨時環境、審批閘道等，可幫助DevOps團隊更好地管理構建與部署流程。

Cloud Build現在還正式支持SLSA L3 builds，即默認實施SLSA L3級最佳實踐。除了提供臨時和隔離的構建環境之外，Cloud Build現在還能為容器化應用程序和非容器化Maven/Python軟件包生成經過身份驗證、不可篡改的構建源，并顯示關于所構建應用程序的安全細節信息。

 協助保護生產中的應用程序

軟件供應鏈保護中的另一個關鍵環節，就是加強運行時環境的安全態勢。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的領先容器化應用程序運行時平臺，二者均包含內置的安全功能，可為運行中的應用程序給予協助保護。

我們很高興地宣布，GKE此次也迎來新的內置安全狀態管理功能（現為預覽階段），可用于識別并解決GKE集群和工作負載中的安全問題。基于行業標準和GKE團隊的安全專業知識，GKE現可提供詳盡的風險嚴重性等級評估與結果，并就集群和工作負載的安全狀況提供建議，包括對于操作系統漏洞和工作負載配置的洞察發現。

GKE儀表板現可清晰指明哪些工作負載會受到安全問題影響，而后提供可操作的指導性解決方案。除儀表板之外，GKE還能將安全問題記錄至Cloud Logging，這部分安全事件信息隨后可通過Pub/Sub（公布/訂閱）被路由至工單系統或安全信息與事件管理（SIEM）系統等服務端。

對于Cloud Run無服務器平臺的客戶，谷歌正著手為Cloud Run安全面板引入新的增強功能。現在此面板能夠顯示軟件供應鏈的安全見解，例如SLSA構建層面的合規性信息、構建源以及正在運行的服務中發現的漏洞（現為預覽階段）。

Software Delivery Shield的各項服務間協同工作，為用戶軟件供應鏈帶來從開發到生產的全流程保護。

  通過策略建立信任鏈

除了在軟件交付生命周期的各個階段增強安全態勢之外，Software Delivery Shield還提供基于信任的策略引擎，幫助用戶為整個供應鏈建立、維護和驗證相應的信任鏈。

Binary Authorization是一款部署時安全控件，可以保證GKE或Cloud Run上僅部署受信任的容器鏡像。借助Binary Authorization，DevOps或安全團隊可以在開發過程中要求受信權威機構對鏡像進行簽名，而后在部署時強制執行簽名驗證。通過這種強制驗證，各團隊即可確保構建與發布流程中僅使用經過驗證的鏡像，從而更嚴格地控制容器環境。

軟件供應鏈的安全保護是一項復雜挑戰。Software Delivery Shield提供的端到端解決方案有助于保護軟件完整性，使其免受軟件供應鏈中各種形式攻擊的影響。借助谷歌云服務承載的豐富工具集合，組織可以立即體驗并根據現有環境/安全優先級逐步采用最合適的安全措施（無論大小），穩健提升軟件供應鏈的整體安全水平。