Google пытается решить проблему безопасности цепочки поставок программного обеспечения

Создание программного обеспечения — это сложная работа, требующая использования целого ряда различных инструментов, библиотек и других компонентов, называемых «цепочкой поставок программного обеспечения». Любое слабое звено в этой цепочке поставок может привести к кибернарушениям с серьезными последствиями, такими как Нарушение SolarWinds в 2020 году которые были нацелены на широкий круг организаций, включая части правительства США.

Во вторник Google Cloud рассказал, как помогает своим клиентам решить эту проблему с помощью пакета инструментов, которые помогают защитить процесс разработки программного обеспечения. Компания представила Software Delivery Shield во время конференции Google Cloud Next.

Software Delivery Shield — это полностью управляемый набор программных инструментов, предназначенный для разработчиков, команд DevOps и групп безопасности. Он включает в себя услуги, охватывающие пять различных частей процесса разработки программного обеспечения: разработку приложений, «поставка» программного обеспечения, непрерывная интеграция (CI) и непрерывная доставка (CD), производственные среды и политики. Организациям не обязательно сразу использовать весь пакет — они могут выбирать те инструменты, которые им нужны.

Также: Страшное будущее Интернета: как технологии завтрашнего дня создадут еще большие угрозы кибербезопасности

В рамках всего пакета Google представляет в предварительной версии новый сервис под названием Cloud Workstations, который предлагает полностью управляемые среды разработки. Разработчики могут получить доступ к настраиваемым средам через браузер, а администраторы ИТ и безопасности могут предоставлять, масштабировать и управлять ими в инфраструктуре Google Cloud. Среды оснащены встроенными мерами безопасности, такими как средства управления услугами VPC, отсутствие локального хранения исходного кода, частный вход/выход, принудительное обновление образов и политики доступа IAM.

Software Delivery Shield также включает в себя Реестр артефактов для команд DevOps для управления и защиты артефактов сборки, таких платформ, как Облачная сборка и Облачное развертывание для обеспечения безопасности конвейера CI/CD, а также таких платформ, как Движок Google Кубернетес (ГКЭ) и Облачный бег для обеспечения безопасности среды выполнения.

Во вторник Google Cloud представила другие инструменты безопасности, в том числе Confidential Space — расширение своего портфолио Confidential Computing. Google по умолчанию хранит все данные в зашифрованном виде при их передаче и хранении. Конфиденциальные вычисления хранят данные в зашифрованном виде во время их обработки.

Конфиденциальное пространство дает участникам данных контроль над тем, как используются их данные и какие рабочие нагрузки имеют право действовать с ними. Операторы рабочей нагрузки и облачные провайдеры не могут каким-либо образом повлиять на рабочую нагрузку. Этот инструмент может помочь организациям, которые хотят делиться конфиденциальными данными, не подвергая их риску — например, защищенной медицинской информацией, информацией, позволяющей идентифицировать личность, или интеллектуальной собственностью. Например, компании здравоохранения могли бы использовать его для сотрудничества в разработке фармацевтических препаратов.

Google также представляет новый пакет программного обеспечения под названием Chronicle Security Operations для обнаружения, расследования и реагирования на киберугрозы. Он объединяет ряд возможностей, включая управление инцидентами от Google. Мандиантное приобретение, а также инструменты оркестрации, автоматизации и реагирования безопасности (SOAR) из недавнего выпуска компании. Упрощение приобретения.