Google、GitLab深化合作提升DevOps與軟體供應鏈安全

Google宣布與GitLab進一步合作，在Google雲端整合GitLab平臺的DevOps功能，GitLab的原始碼管理、規畫、CI/CD工作流程和進階安全與法遵功能，與Google雲端控制臺和ArtifactRegistry以統一資料平面相整合，減輕開發者管理雲端上自託管解決方案的工作，諸如修補程式、升級還有測試等任務。

這次的整合讓用戶可以使用GitLab統一DevSecOps工作流程以及Google雲端原生供應鏈安全功能，因此開發人員不只可以降低交付軟體的複雜性，同時也能在整個軟體開發生命周期中，獲得系統範圍的治理與政策執行。

在編寫程式碼前，開發人員就已經可以從Google雲端控制臺存取GitLab專案，並在GitLab規畫、創建問題（Issue）和定義史詩（Epic）。當程式碼要推送至生產環境時，開發人員可以直接從GitLab註冊和配置私有Google Runner，並利用CI/CD元件模板，將程式部署到GKE等Google雲端資源。

Google ArtifactRegistry與GitLab工作管線的整合，讓開發人員可以在ArtifactRegistry中，查看GitLab生成的安全掃描結果和漏洞報告後設資料，並可以藉由軟體供應鏈安全框架SLSA評等，了解軟體的建置來源與方法，軟體物料清單（SBOM）能夠提供相關的構件透明度，而Binary Authorization則可以作為部署門控。

GitLab的輸出則可以透過證明和簽章提供安全性門控確認，當特定套件不滿足安全和驗證要求，系統就能阻止該程式在叢集中運作。這個方法提供了一個額外安全機制，只有經過驗證且符合安全標準的軟體套件，才能被部署並執行。