Descripción general del software de código abierto garantizado

Assured Open Source Software (Assured OSS) te permite aprovechar la seguridad y la experiencia que Google aplica al software de código abierto (OSS) incorporando los mismos paquetes de OSS que Google protege y usa en tus propios flujos de trabajo de desarrollador.

Assured OSS te permite hacer lo siguiente:

• Obtén tus paquetes de OSS de un proveedor conocido y de confianza.
• Obtén más información sobre el contenido de los paquetes con las SBOM aseguradas que se proporcionan en formatos estándar de la industria, como SPDX.
• Obtén información sobre las amenazas y la seguridad de un paquete con la información de VEX en un formato estándar de la industria, como CycloneDX.
• Reduce el riesgo de seguridad, ya que Google analiza, detecta y corrige activamente las vulnerabilidades nuevas en los paquetes seleccionados.
• Aumenta la confianza en la integridad del OSS que utilizas a través de una provenance firmada y evidente.
• Elige entre más de mil de los paquetes más populares de Java, Go y Python, incluidos proyectos comunes de aprendizaje automático y de inteligencia artificial, como TensorFlow, Pandas y Scikit-learn.

Google crea los paquetes de código abierto de forma segura. Estos paquetes cumplen con los requisitos del nivel 3 de los Niveles de cadena de suministro para artefactos de software (SLSA) y tienen una procedencia y una SBOM verificables.

Niveles de Assured OSS

Assured OSS tiene un nivel gratuito y un nivel Premium. El nivel Premium está disponible cuando compras Security Command Center Enterprise.

El nivel gratuito incluye lo siguiente:

• Paquetes de código abierto de Python, Go y Java en repositorios seleccionados
• Pasos de configuración manual.
• Son repositorios seleccionados creados en un proyecto administrado por Google.
• Son extremos de proxy universales para paquetes de código abierto. Este proxy te permite descargar paquetes de código abierto y sus metadatos desde una sola fuente, ya sea que Google haya compilado los paquetes o no.
• Se agregó compatibilidad con el acceso a la cuenta de Amazon Web Service (AWS).

El nivel Premium te permite integrar Assured OSS con Security Command Center Enterprise. Incluye lo siguiente:

• Paquetes de código abierto de Python, Go y Java en repositorios seleccionados
• Paquetes de código abierto de JavaScript en un repositorio canónico
• La configuración automatizada forma parte del proceso de activación de Security Command Center Enterprise.
• Son repositorios seleccionados que se crean en un proyecto que especificas.
• Son los metadatos del paquete universal que Google recopila y firma. Estos metadatos proporcionan información sobre la compilación del paquete, las vulnerabilidades y el estado del paquete. La información sobre el estado del paquete solo está disponible para los paquetes compilados por Google.

Para obtener más información sobre los precios de Security Command Center Enterprise, consulta Precios del nivel Enterprise.

Opciones de repositorios de Assured OSS

Los paquetes de Assured OSS se almacenan en un repositorio de Artifact Registry administrado por Google. Puedes acceder a los paquetes de código abierto que ofrece Assured OSS y descargarlos con uno de los siguientes métodos:

• Configura un repositorio remoto (también llamado mirror o proxy) en tu entorno para que actúe como proxy del repositorio de Artifact Registry administrado por Google. Tus desarrolladores pueden conectarse al repositorio remoto para descargar los paquetes. Usa este método si usas un administrador de repositorios como Jfrog Artifactory o Sonatype Nexus.

• Conéctate directamente al repositorio de Artifact Registry con una cuenta de servicio. Usa este método si los desarrolladores usan herramientas de compilación como Maven, Gradle, Go o pip.

• Usa un repositorio virtual upstream que actúe como un único punto de acceso para tus desarrolladores, de modo que puedan descargar, instalar o implementar paquetes.
  En el nivel Premium, se crean automáticamente dos repositorios virtuales: uno para los paquetes de Java y otro para los paquetes de Python. En el nivel gratuito, debes configurar un repositorio virtual por tu cuenta. Puedes usar un repositorio estándar de Artifact Registry o un repositorio remoto de Artifact Registry como tu repositorio virtual upstream. También puedes usar un repositorio de tipo Assured OSS, que es un wrapper sobre un repositorio virtual que tiene acceso a los paquetes de los niveles Premium y Gratis. El repositorio de tipo OSS asegurado realiza verificaciones del servidor.

En el siguiente diagrama, se muestra Assured OSS conectado a un repositorio remoto.

Seguridad de la cadena de suministro del software

Assured Open Source Software es uno de los Google Cloud componentes que puedes usar para proteger tu cadena de suministro de software. Puedes usar Assured Open Source Software junto con otros productos y funciones de Google Cloud para mejorar la postura de seguridad de los flujos de trabajo y las herramientas de los desarrolladores, las dependencias de software, los sistemas de CI/CD que se usan para compilar e implementar tu software, y los entornos de ejecución, como Google Kubernetes Engine y Cloud Run. Para obtener más información, consulta Seguridad de la cadena de suministro de software.

¿Qué sigue?

• Para usar el nivel gratuito, consulta Cómo habilitar Assured OSS.
• Para realizar la integración con Security Command Center Enterprise, consulta Integración con Assured OSS para la seguridad del código.