[Google Cloud Next Tokyo ’23] 最新 Google Cloud CI/CD を利用したソフトウェアデリバリーの要約

はじめに

この記事はGoogle Cloud Next Tokyo ’23で出てきたサービスについて見ていく記事です。
今回は最新 Google Cloud CI/CD を利用したソフトウェアデリバリーのセッションを視聴したのでセッションの内容を振り返りたいと思います。

登場したサービス

Cloud Build（第二世代）

d1-app-07-cloudbuild

Artifact Registry

Cloud Deploy

d1-app-07-clouddeploy

セッションの要約

快適なCI/CD環境を提供することは組織のパフォーマンスにつながり、最終的には開発者のウェルビーイングにつながる。
※DORAのレポートを参照

従来までのCI/CD環境は自前でインスタンスを用意する必要があったため、下記のような問題が発生していた。

弾力性
ポータビリティ
メンテナンス性

ゆえに、モダンなCI/CDはポータビリティを意識した設計、弾力性、マネージドが必要である。
くわえて、セキュリティの面においてはソフトウェアサプライチェーンを意識する必要がある。
つまり、ソフトウェアサプライチェーンの保護である。

ソフトウェアサプライチェーンを保護する必要がある背景にはほぼすべての商用コードにOSSが利用されているということである。OSSは自社ではなく、一個人その他が開発しているものもあるため、そこには脆弱性がある。

多数の攻撃ベクトルからソフトウェアサプライチェーンを守るのは困難である。

d1-app-07-attack

Googleではソフトウェアサプライチェーンにセキュリティを加えたCIのことをS3C呼んでいる。

ソフトウェアサプライチェーンのセキュリティにはSLSAというセキュリティガイドラインがある。
SLSAは「Supply chain Levels for Software Artifacts」の省略形であり、ランクが存在する。

SLSAの主な役割としては下記のものがある。

OSSセキュリティフレームワーク
内部フレームワークの可視化
オープンガバナンス

SLSAのランクを高く保つことで来歴や透明性を担保できる。

※透明性：ソフトウェアの依存関係などソフトウェアを構成するものをどれだけ可視化できているかという性質のこと。SBOM（Software Bill of Materials）と呼ばれるソフトウェア部品の管理表を作ることでソフトウェアの依存関係を表現できます。

※来歴：ソフトウェアのアーティファクトがどこから来たものかを表現する情報

上記のSLSAやSBOM、ソフトウェアサプライチェーンのセキュリティについてはGoogle Cloudのサービスに含まれている。

具体的には下記の3つのサービスです。

Cloud Build
- Binary Authorizationを利用したビルドとSLSAレベル3を提供

d1-app-07-SLSA

d1-app-07-raireki

Artifact Registry
- Artifact Analysisによるパッケージスキャン
- クリーンナップポリシーを設定することでイメージの削除と保持ができる

Cloud Deploy

また、GitHubとCloud Buildを直接統合することでも可能のため、必要に応じてGitHubの利用も検討できる。
Cloud BuildはデフォルトでE2 スタンダードのマシンタイプに対応しており、月間2500ビルド分が無料である。

Cloud Deployはデプロイフックの利用が可能になった上に料金が改定されて以前よりも低価格で利用できるようになった。無償利用も拡大している。

くわえて、開発においてはクラウドIDEを活用することもできる。たとえば、Cloud Workstations（VSCodeのOSSやJetBrainsなどを使っている。マネージドの開発環境）を使うことで同一の環境をメンバーで共有できる。

d1-app-07-cloudwork

また、CloudCodeを使うことでDuetAIも利用できる。（以下、Visual Studio Codeの画面）

d1-app-07-cloud-code-ide

まとめとしては下記のとおりです。

マネージドなCI/CDを使う
パイプラインに改ざん防止が導入されている
早い段階でセキュリティを組み込む
パフォーマンスの高いパイプラインはビジネス効果とエンジニアの満足をもたらす

d1-app-07-think

補足：Google Cloud DevOps

サービスを組みわせてDevOpsを実現する場合

d1-app-07-devops

感想

早い段階でセキュリティを組み込むという話はこちらのセッションでも説明されていましたのですぐに内容を理解することができました。
しかしながら、SLSAについては純粋に知らなかったため、勉強不足を痛感しました。

セッションを聞いて、Google CloudによるCI/CDパイプラインの構築に興味が湧いたのでやってみたいと思いました。とりわけ、他のクラウドでCI/CDに関する書籍を出していることもあるのでGoogle Cloudも同じように何らかの形でCI/CDのハンズオンを作りたいと思います。

参考にしたセッション

この記事を書いた人

山田顕人

2022年10月にアイレット株式会社にジョイン
クラウドインテグレーション事業部MSP開発セクション所属のエンジニアであり、現在はMSPの運用を分析する運用分析PFの構築に携わっている。
著「 CodeシリーズでハッピーなCI/CDを構築しよう【AWSハンズオン虎の巻シリーズ】: 知識がなくても手を動かしながらCI/CDをAWS上に実装できる一冊！ Kindle版」、共著「AWSエンジニア入門講座(技術評論社)」、「ソリューションアーキテクトアソシエイトの教科書(Kindle)」github@ymd65536 山田顕人が書いた記事

[Google Cloud Next Tokyo ’23] 最新 Google Cloud CI/CD を利用したソフトウェアデリバリーの要約

はじめに

登場したサービス

セッションの要約

補足：Google Cloud DevOps

感想

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

AWSの生成AI活用事例集GenUを使い倒す

Python で Cloud Storage の JSON ファイルを読み込む

cron の代わりに systemd timer を使ってみた

WindowsServer上に作成したローカルユーザーのパスワード有効期限管理パターンとその適用手順をまとめてみる

[Google Cloud Next Tokyo ’23] 最新 Google Cloud CI/CD を利用したソフトウェア デリバリーの要約

はじめに

登場したサービス

セッションの要約

補足：Google Cloud DevOps

感想

関連記事Related Articles

[Google Cloud Next Tokyo ’23 キーワード解説] DevSecOpsとは

[Google Cloud Next Tokyo ’23] Google Cloud Tech Acceleration Programとは

Google Cloud Next ’23 現地参加レポート 0日目

Google Cloud Next Tokyo ’23 Day1 Keynote

Google Cloud Next Tokyo ’23 セッションレポート「あらゆるワークロードを加速する、 Google Compute Engine の 最新のイノベーション」

[Google Cloud Next Tokyo ’23] 最新 Google Cloud CI/CD を利用したソフトウェアデリバリーの要約

Google Cloud Next Tokyo ’23 セッションレポート「あらゆるワークロードを加速する、 Google Compute Engine の最新のイノベーション」