Google introduit une solution complète pour la sécurité de la supply chain logicielle
Google Cloud a dévoilé le Software Delivery Shield. S'adressant aux développeurs, aux DevOps et aux équipes de sécurité, cette solution promet de sécuriser de bout en bout la supply chain logicielle.
A l'occasion de sa conférence Next 22, la division cloud de Google a dévoilé passablement de nouveautés dans le domaine de la cybersécurité. Dont le Software Delivery Shield, décrit par le géant de la tech comme une solution entièrement gérée de sécurisation de bout en bout de la chaîne d'approvisionnement logicielle.
Dans son annonce, Google explique que ce «bouclier de livraison de logiciels» est conçu pour fournir aux développeurs, aux DevOps et aux équipes de sécurité les outils nécessaires à la création d'applications cloud sécurisées. La solution promet de répondre aux problèmes de sécurité tout au long de la supply chain logicielle, dans cinq domaines: le développement d'applications, l'approvisionnement logiciel, l'intégration continue (CI) et la livraison continue (CD), les environnements de production et la mise en place de politiques de confiance. Le Software Delivery Shield fonctionne avec plusieurs services, notamment Google Kubernetes Engine, Cloud Code, Cloud Build, Cloud Deploy, Artifact Registry et Binary Authorization.
Un bouclier qui s’étend sur toute la supply chain logicielle
Cloud Workstations (en preview) permet de créer des environnements de développement entièrement contrôlés. Egalement en preview, le plugin Source Protect donne aux développeurs un retour d'information en temps réel sur la sécurité pendant qu'ils travaillent dans leur IDE.
Concernant l'approvisionnement logiciel, un aspect critique de la chaîne compte tenu de l'utilisation généralisée des logiciels libres, Google rappelle proposer dépuis mai dernier le service Assured Open Source Software (Assured OSS), un ensemble de bibliothèques de logiciels open source qui font l’objet d’une curation par la firme de Mountain View.
Google indique en outre sécuriser ses plateformes CI/CD, notamment à l'aide des contrôles IAM et de service VPC, ainsi qu'avec la possibilité de créer des environnements isolés et éphémères.
Au niveau des applications en production, Google annonce de nouvelles capacités intégrées de gestion de la posture de sécurité pour Google Kubernetes Engine.
Enfin, le fournisseur de services cloud souligne que le Software Delivery Shield dispose d'un module de politique de confiance qui permet, dixit Google, d'établir, de maintenir et de vérifier une chaîne de confiance tout au long de la chaîne logistique.
Ces derniers mois Google a renforcé son engagement en faveur de la sécurité de la supply chain logicielle, pas seulement via son propre environnement de services cloud. Le géant de la tech s'implique par exemple avec Microsoft dans l'initiative Alpha-Omega Project.
