Assured Open Source Software の概要

Assured Open Source Software(Assured OSS)を使用すると、Google がセキュリティを確保し、実際に使用しているものと同じ OSS パッケージを独自のデベロッパー ワークフローに取り入れることで、Google がオープンソース ソフトウェア(OSS)に適用しているセキュリティと経験を活用できます。

Assured OSS では次のことができます。

  • 信頼できる既知のサプライヤーから OSS パッケージを取得できる。
  • SPDX などの業界標準の形式で提供される Assured SBOM を使用して、パッケージの内容について詳しく把握できます。
  • CycloneDX などの業界標準形式の VEX 情報を使用して、パッケージの脅威とセキュリティについて学習します。
  • Google がキュレート済みパッケージを常時スキャンし、新しい脆弱性を検出、修正しているため、セキュリティ リスクを低減できます。
  • 署名された改ざん履歴がないことを示すprovenanceがあるため、使用している OSS の完全性を確実に信頼できます。
  • TensorFlow、Pandas、Scikit-learn など、一般的な ML プロジェクトや AI プロジェクトを含む、1,000 以上の人気の高い Java、Go、Python パッケージから選択できます。

オープンソース パッケージは、Google によって安全にビルドされます。これらのパッケージは、ソフトウェア アーティファクトのためのサプライ チェーン レベル(SLSA)のレベル 3 の要件を満たしており、検証可能な来歴と SBOM があります。

Assured OSS の階層

Assured OSS には、無料ティアとプレミアム ティアがあります。プレミアム ティアは、Security Command Center Enterprise を購入すると利用できます。

無料枠には次のものが含まれます。

  • キュレートされたリポジトリ内の Python、Go、Java のオープンソース パッケージ。
  • 手動設定の手順。
  • Google 管理プロジェクトで作成されたキュレートされたリポジトリ。
  • オープンソース パッケージ用のユニバーサル プロキシ エンドポイント。このプロキシを使用すると、パッケージが Google によってビルドされたかどうかに関係なく、オープンソース パッケージとそのメタデータを 1 つのソースからダウンロードできます。
  • Amazon Web Service(AWS)アカウントへのアクセスをサポート。

プレミアム ティアでは、Assured OSS を Security Command Center Enterprise と統合できます。次のものが含まれます。

  • キュレートされたリポジトリ内の Python、Go、Java のオープンソース パッケージ。
  • 正規リポジトリ内の JavaScript オープンソース パッケージ。
  • Security Command Center Enterprise の有効化プロセスの一環として自動設定されます。
  • 指定したプロジェクトに作成されたキュレート リポジトリ。
  • Google が収集して署名したユニバーサル パッケージ メタデータ。このメタデータには、パッケージ ビルド、脆弱性、パッケージの健全性に関する情報が含まれています。パッケージの健全性情報は、Google によってビルドされたパッケージでのみ使用できます。

Security Command Center Enterprise の料金の詳細については、エンタープライズ ティアの料金をご覧ください。

Assured OSS リポジトリ オプション

Assured OSS パッケージは、Google が管理する Artifact Registry リポジトリに保存されます。Assured OSS が提供するオープンソース パッケージには、次のいずれかの方法でアクセスしてダウンロードできます。

  • Google マネージド Artifact Registry リポジトリのプロキシとして機能するように、環境にリモート(ミラーまたはプロキシとも呼ばれます)リポジトリを設定します。デベロッパーは、リモート リポジトリに接続してパッケージをダウンロードできます。この方法は、Jfrog Artifactory や Sonatype Nexus などのリポジトリ マネージャーを使用している場合に使用します。

  • サービス アカウントを使用して Artifact Registry リポジトリに直接接続します。この方法は、デベロッパーが Maven、Gradle、Go、pip などのビルドツールを使用している場合に使用します。

  • デベロッパーがパッケージをダウンロード、インストール、デプロイできるように、デベロッパーの単一のアクセス ポイントとして機能する仮想アップストリーム リポジトリを使用します。
    Premium ティアでは、Java パッケージ用と Python パッケージ用の 2 つの仮想リポジトリが自動的に作成されます。無料枠では、仮想リポジトリを自分で構成する必要があります。アップストリーム仮想リポジトリとして、Artifact Registry 標準リポジトリまたは Artifact Registry リモート リポジトリを使用できます。Assured OSS タイプのリポジトリを使用することもできます。これは、無料枠とプレミアム枠の両方のパッケージにアクセスできる仮想リポジトリのラッパーです。Assured OSS タイプのリポジトリは、サーバーサイドのチェックを実行します。

次の図は、リモート リポジトリに接続された Assured OSS を示しています。

リモート リポジトリに接続しています。

ソフトウェア サプライ チェーンのセキュリティ

Assured Open Source Software は、ソフトウェア サプライ チェーンの保護に使用できる Google Cloud コンポーネントの一つです。Assured Open Source Software を他の Google Cloud プロダクトや機能と組み合わせて使用すると、デベロッパーのワークフローやツール、ソフトウェアの依存関係、ソフトウェアのビルドとデプロイに使用される CI/CD システム、Google Kubernetes Engine や Cloud Run などのランタイム環境のセキュリティ体制を強化できます。詳細については、ソフトウェア サプライ チェーンのセキュリティをご覧ください。

次のステップ