Google針對軟體供應鏈推出安全解決方案Software Delivery Shield

針對軟體供應鏈安全Google推出Software Delivery Shield，這是一個全託管軟體供應鏈安全解決方案，其提供了一組模組化功能，保護軟體供應鏈的每個階段。

Software Delivery Shield覆蓋的範圍極廣，從開發者工具到GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列Google雲端服務，其主要解決軟體供應鏈5大領域的安全問題，分別是應用程式開發、軟體供應、CI/CD、生產環境和政策，用戶可以根據需求，以及現有的環境和安全優先層級，逐步採用Software Delivery Shield。

Software Delivery Shield的Cloud Workstations服務，能夠在Google雲端上提供全託管開發環境，開發人員可以透過瀏覽器隨時存取可自訂的開發環境，同時IT和安全管理人員，也能夠簡單地配置、擴展和保護Google雲端的開發環境。

官方提到，Cloud Workstations可以透過強化應用程式開發環境的安全態勢，左移開發安全性。Cloud Workstations透過VPC服務控制、無本地儲存原始碼，以及強迫映像檔更新和IAM存取政策，能夠有效解決常見本地開發的痛點，像是程式碼洩漏、隱私風險和配置不一致等問題。

Google也在Cloud Code IDE擴充套件新增Source Protect功能，Source Protect能夠在IDE中提供即時安全保護，辨識易受攻擊的相依項目和授權等問題，而藉由快速操作和回應，可讓開發人員即時調整程式碼，減少未來需要修復的機會。

在保護軟體供應鏈上，企業普遍使用開源軟體成為具有挑戰性的問題，Software Delivery Shield使DevOps團隊可以在Artifact Registry安全地儲存、管理和保護構件，透過整合Container Analysis掃描主動偵測漏洞，Google也在該服務擴展支援的語言，且除了掃描基礎映像檔，還能夠對Maven和Go容器，以及非容器化Maven套件進行漏洞掃描。

而Google在5月的時候所推出Assured Open Source Software（Assured OSS）服務，也成為Software Delivery Shield的重點部分，提供企業和開發商經Google漏洞檢查和簽章的開源套件。

在CI/CD工作管線上，Cloud Build和Cloud Deploy都具有高精細IAM控制、VPC服務控制、隔離和臨時環境等安全功能，使DevOps人員更好地管理建置和部署過程，而對於生產環境中的應用程式，GKE則內建新的安全狀態管理功能，可辨識和解決叢集中的安全問題，Cloud Run的安全面板則新增顯示SLSA建置等級法遵資訊、建置出處和已發現漏洞等供應鏈安全資訊。

另外，Software Delivery Shield還具有基於信任的政策引擎，以建立和驗證整個供應鏈的信任鏈，Binary Authorization功能提供部署時的安全控制，可以確保GKE和Cloud Run部署受信任的容器映像檔，安全團隊可以在開發過程要求受信任的權威機構對映像檔簽章，並在部署時強制驗證簽章，確保只有經過驗證的內容，可以整合進建置和發布程序，更嚴格地控制容器環境。