Google推出可用来保护容器供应链的工具Voucher

Google云端用户现可以使用容器供应链安全工具Voucher，确保部署到生产环境程式码的安全性。Voucher是由电子商务公司Shopify所开发，可在Google云端评估CI/CD所创建的容器映像档，并仅于满足预先定义的安全标準下，才给予这些映像档签章，二进位授权（Binary Authorization）会在部署时验证签章，确保符合组织政策和法遵要求的程式码，才能部署到生产环境中。

不少开发人员使用Kubernetes建构可扩展软体，但Google提到，要安全的进行扩展，必须要在软体供应链加入治理能力，包括託管安全基础映像档、容器注册表漏洞扫描，以及二进位授权等，才能保证大量部署的程式码品质。

而Voucher则可以补齐二进位授权工具链，让用户保护软体供应工作管线，Voucher是一个开源工具，遵循元资料伺服器Grafeas规範，其生成的签章，可供二进位授权或是Kubernetes政策引擎Kritis使用。

使用者可在映像档建置之后，在生产部署之前，于CI/DC工作管线呼叫Voucher，Voucher会从映像档注册表中，撷取新建置的映像档，并且进行用户要求的所有检查，一旦通过检查，Voucher便会为该映像档产生证明，这些证明会被推送到元资料伺服器中，供Kritis进行验证。

Voucher让基础设施工程师，可以使用二进位授权来强制实施安全需求，像是限制映像档出处，或是阻挡易受攻击的映像档，仅能使用目前没有任何已知漏洞的映像档等。Shopify资深基础设施安全工程师Cat Jones提到，Shopify每天要交付超过8,000个软体版本，并维护内含330,000个容器的注册表，因此Shopify和Google一起设计了Voucher，以便用安全且全面的方法，来验证要交付到生产环境的映像档。

结合Voucher、具漏洞扫描功能的容器映像档以及二进位授权，用户能以多层安全政策，来防护生产系统，并且尽可能减少对交付速度的影响。不过，Google提醒，为了避免特权升级的问题，签章步骤应该託管在CI/CD工作管线之外，虽然这样会给DevOps团队带来大量的负担，但是Voucher能够自动化进行大部分的设定，用户仅需要在二进位授权中指定签章政策。

现在使用者已经可以在Google云端中使用Voucher，可以选择从GitHub中下载，或是从Google云端市集中，安装快速部署版本。