Google雲端用戶現可以使用容器供應鏈安全工具Voucher,確保部署到生產環境程式碼的安全性。Voucher是由電子商務公司Shopify所開發,可在Google雲端評估CI/CD所創建的容器映像檔,並僅於滿足預先定義的安全標準下,才給予這些映像檔簽章,二進位授權(Binary Authorization)會在部署時驗證簽章,確保符合組織政策和法遵要求的程式碼,才能部署到生產環境中。

不少開發人員使用Kubernetes建構可擴展軟體,但Google提到,要安全的進行擴展,必須要在軟體供應鏈加入治理能力,包括託管安全基礎映像檔、容器註冊表漏洞掃描,以及二進位授權等,才能保證大量部署的程式碼品質。

而Voucher則可以補齊二進位授權工具鏈,讓用戶保護軟體供應工作管線,Voucher是一個開源工具,遵循元資料伺服器Grafeas規範,其生成的簽章,可供二進位授權或是Kubernetes政策引擎Kritis使用。

使用者可在映像檔建置之後,在生產部署之前,於CI/DC工作管線呼叫Voucher,Voucher會從映像檔註冊表中,擷取新建置的映像檔,並且進行用戶要求的所有檢查,一旦通過檢查,Voucher便會為該映像檔產生證明,這些證明會被推送到元資料伺服器中,供Kritis進行驗證。

Voucher讓基礎設施工程師,可以使用二進位授權來強制實施安全需求,像是限制映像檔出處,或是阻擋易受攻擊的映像檔,僅能使用目前沒有任何已知漏洞的映像檔等。Shopify資深基礎設施安全工程師Cat Jones提到,Shopify每天要交付超過8,000個軟體版本,並維護內含330,000個容器的註冊表,因此Shopify和Google一起設計了Voucher,以便用安全且全面的方法,來驗證要交付到生產環境的映像檔。

結合Voucher、具漏洞掃描功能的容器映像檔以及二進位授權,用戶能以多層安全政策,來防護生產系統,並且盡可能減少對交付速度的影響。不過,Google提醒,為了避免特權升級的問題,簽章步驟應該託管在CI/CD工作管線之外,雖然這樣會給DevOps團隊帶來大量的負擔,但是Voucher能夠自動化進行大部分的設定,用戶僅需要在二進位授權中指定簽章政策。

現在使用者已經可以在Google雲端中使用Voucher,可以選擇從GitHub中下載,或是從Google雲端市集中,安裝快速部署版本。

熱門新聞

Advertisement