Google针对软件供应链推出安全解决方案

针对软件供应链安全Google推出Software Delivery Shield，这是一个全托管软件供应链安全解决方案，其提供了一组模块化功能，保护软件供应链的每个阶段。

Software Delivery Shield覆盖的范围极广，从开发者工具到GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列Google云计算服务，其主要解决软件供应链5大领域的安全问题，分别是应用程序开发、软件供应、CI/CD、生产环境和政策，用户可以根据需求，以及现有的环境和安全优先层级，逐步采用Software Delivery Shield。

Software Delivery Shield的Cloud Workstations服务，能够在Google云计算上提供全托管开发环境，开发人员可以通过浏览器随时访问可自订的开发环境，同时IT和安全管理人员，也能够简单地配置、扩展和保护Google云计算的开发环境。

官方提到，Cloud Workstations可以通过强化应用程序开发环境的安全态势，左移开发安全性。Cloud Workstations通过VPC服务控制、无本地存储源码，以及强迫镜像文件更新和IAM访问政策，能够有效解决常见本地开发的痛点，像是程序代码泄露、隐私风险和配置不一致等问题。

Google也在Cloud Code IDE扩展组件添加Source Protect功能，Source Protect能够在IDE中提供即时安全保护，识别易受攻击的相依项目和授权等问题，而借由快速操作和回应，可让开发人员即时调整程序代码，减少未来需要修复的机会。

在保护软件供应链上，企业普遍使用开源软件成为具有挑战性的问题，Software Delivery Shield使DevOps团队可以在Artifact Registry安全地存储、管理和保护构件，通过集成Container Analysis扫描主动侦测漏洞，Google也在该服务扩展支持的语言，且除了扫描基础镜像文件，还能够对Maven和Go容器，以及非容器化Maven组件进行漏洞扫描。

而Google在5月的时候所推出Assured Open Source Software（Assured OSS）服务，也成为Software Delivery Shield的重点部分，提供企业和开发商经Google漏洞检查和签章的开源组件。

在CI/CD工作管线上，Cloud Build和Cloud Deploy都具有高精细IAM控制、VPC服务控制、隔离和临时环境等安全功能，使DevOps人员更好地管理构建和部署过程，而对于生产环境中的应用程序，GKE则内置新的安全状态管理功能，可识别和解决集群中的安全问题，Cloud Run的安全面板则添加显示SLSA构建等级法遵资讯、构建出处和已发现漏洞等供应链安全资讯。

另外，Software Delivery Shield还具有基于信任的政策引擎，以创建和验证整个供应链的信任链，Binary Authorization功能提供部署时的安全控制，可以确保GKE和Cloud Run部署受信任的容器镜像文件，安全团队可以在开发过程要求受信任的权威机构映射像档签章，并在部署时强制验证签章，确保只有经过验证的内容，可以集成进构建和发布程序，更严格地控制容器环境。