Google推出可用來保護容器供應鏈的工具

Google雲計算用戶現可以使用容器供應鏈安全工具Voucher，確保部署到生產環境程序代碼的安全性。Voucher是由電子商務公司Shopify所開發，可在Google雲計算評估CI/CD所創建的容器鏡像文件，並僅於滿足預先定義的安全標準下，才給予這些鏡像文件簽章，二進位授權（Binary Authorization）會在部署時驗證簽章，確保符組成織政策和法遵要求的程序代碼，才能部署到生產環境中。

不少開發人員使用Kubernetes構建可擴展軟體，但Google提到，要安全的進行擴展，必需要在軟體供應鏈加入治理能力，包括託管安全基礎鏡像文件、容器註冊表漏洞掃描，以及二進位授權等，才能保證大量部署的程序代碼品質。

而Voucher則可以補齊二進位授權工具鏈，讓用戶保護軟體供應工作管線，Voucher是一個開源工具，遵循元資料伺服器Grafeas規範，其生成的簽章，可供二進位授權或是Kubernetes政策引擎Kritis使用。

用戶可在鏡像文件構建之後，在生產部署之前，於CI/DC工作管線調用Voucher，Voucher會從鏡像文件註冊表中，截取新構建的鏡像文件，並且進行用戶要求的所有檢查，一旦通過檢查，Voucher便會為該鏡像文件產生證明，這些證明會被推送到元資料伺服器中，供Kritis進行驗證。

Voucher讓基礎設施工程師，可以使用二進位授權來強制實施安全需求，像是限制鏡像文件出處，或是阻擋易受攻擊的鏡像文件，僅能使用目前沒有任何已知漏洞的鏡像文件等。Shopify資深基礎設施安全工程師Cat Jones提到，Shopify每天要交付超過8,000個軟體版本，並維護內置330,000個容器的註冊表，因此Shopify和Google一起設計了Voucher，以利用安全且全面的方法，來驗證要交付到生產環境的鏡像文件。

結合Voucher、具漏洞掃描功能的容器鏡像文件以及二進位授權，用戶能以多層安全策略，來防護生產系統，並且儘可能減少對交付速度的影響。不過，Google提醒，為了避免特權升級的問題，簽章步驟應該託管在CI/CD工作管線之外，雖然這樣會給DevOps團隊帶來大量的負擔，但是Voucher能夠自動化進行大部分的設置，用戶僅需要在二進位授權中指定簽章政策。

現在用戶已經可以在Google雲計算中使用Voucher，可以選擇從GitHub中下載，或是從Google雲計算市場中，安裝快速部署版本。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！