Mit Assured Open Source Software (Assured OSS) profitieren Sie von Sicherheitsfunktionen, die Google auf Open-Source-Software (OSS) anwendet. Sie können die gleichen OSS-Pakete, die Google sichert und verwendet, in Ihre eigenen Entwicklerworkflows einbinden.
Assured OSS bietet folgende Möglichkeiten:
- OSS-Pakete von einem vertrauenswürdigen, bekannten Anbieter abrufen
- Mit Assured SBOMs, die in Branchenstandardformaten wie SPDX bereitgestellt werden, können Sie mehr über den Inhalt von Paketen erfahren.
- Mit VEX-Informationen in einem Branchenstandardformat wie CycloneDX können Sie mehr über Bedrohungen und die Sicherheit eines Pakets erfahren.
- Sicherheitsrisiken werden reduziert, da Google aktiv neue Sicherheitslücken in kuratierten Paketen scannt, findet und behebt.
- Erhöhen Sie das Vertrauen in die Integrität der von Ihnen verwendeten OSS durch signierte, manipulationssichere provenance.
- Wählen Sie aus über tausend der beliebtesten Java-, Go- und Python-Pakete, darunter gängige Projekte für maschinelles Lernen und künstliche Intelligenz wie TensorFlow, Pandas und Scikit-learn.
Die Open-Source-Pakete werden von Google auf sichere Weise erstellt. Diese Pakete entsprechen den Anforderungen von Supply Chain Levels for Software Artifacts (SLSA) Level 3 und haben eine überprüfbare Herkunft und SBOM.
Assured OSS-Stufen
Assured OSS bietet eine kostenlose und eine Premium-Stufe. Die Premium-Stufe ist verfügbar, wenn Sie Security Command Center Premium oder Security Command Center Enterprise erwerben.
Das kostenlose Abo umfasst Folgendes:
- Open-Source-Pakete für Python, Go und Java in kuratierten Repositories.
- Manuelle Einrichtungsschritte.
- In einem von Google verwalteten Projekt erstellte kuratierte Repositories.
- Universelle Proxy-Endpunkte für Open-Source-Pakete. Mit diesem Proxy können Sie Open-Source-Pakete und ihre Metadaten aus einer Quelle herunterladen, unabhängig davon, ob die Pakete von Google erstellt wurden.
- Unterstützung für den Zugriff auf Amazon Web Service-Konten (AWS-Konten).
Mit der Premium-Stufe können Sie Assured OSS in Security Command Center Premium oder Security Command Center Enterprise einbinden. Dazu gehören:
- Open-Source-Pakete für Python, Go und Java in kuratierten Repositories.
- JavaScript-Open-Source-Pakete in einem kanonischen Repository.
- Die automatische Einrichtung erfolgt im Rahmen der Aktivierung von Security Command Center Premium oder Security Command Center Enterprise auf Organisationsebene.
- Kuratierte Repositories, die in einem von Ihnen angegebenen Projekt erstellt werden.
- Universelle Paketmetadaten, die von Google erhoben und signiert werden. Diese Metadaten enthalten Informationen zum Paket-Build, zu allen Sicherheitslücken und zum Paketstatus. Die Informationen zum Paketstatus sind nur für Pakete verfügbar, die von Google erstellt wurden.
Weitere Informationen zu den Preisen für Security Command Center-Abos finden Sie unter Security Command Center-Preise.
Assured OSS-Repository-Optionen
Assured OSS-Pakete werden in einem von Google verwalteten Artifact Registry-Repository gespeichert. Sie haben folgende Möglichkeiten, auf die von Assured OSS angebotenen Open-Source-Pakete zuzugreifen und sie herunterzuladen:
Richten Sie in Ihrer Umgebung ein Remote-Repository (auch Mirror oder Proxy genannt) ein, das als Proxy für das von Google verwaltete Artifact Registry-Repository dient. Ihre Entwickler können eine Verbindung zum Remote-Repository herstellen, um die Pakete herunterzuladen. Verwenden Sie diese Methode, wenn Sie einen Repository-Manager wie Jfrog Artifactory oder Sonatype Nexus verwenden.
Stellen Sie mit einem Dienstkonto eine direkte Verbindung zum Artifact Registry-Repository her. Verwenden Sie diese Methode, wenn Entwickler Build-Tools wie Maven, Gradle, Go oder pip verwenden.
Verwenden Sie ein virtuelles Upstream-Repository, das als zentraler Zugriffspunkt für Ihre Entwickler dient, damit sie Pakete herunterladen, installieren oder bereitstellen können.
Im Premium-Tarif werden automatisch zwei virtuelle Repositories erstellt: eines für Java-Pakete und eines für Python-Pakete. Im Free-Tarif müssen Sie ein virtuelles Repository selbst konfigurieren. Sie können ein Artifact Registry-Standard-Repository oder ein Artifact Registry-Remote-Repository als Upstream-Repository verwenden. Sie können auch ein Assured OSS-Repository verwenden. Das ist ein Wrapper für ein virtuelles Repository, das Zugriff auf Pakete der Free- und Premium-Stufe hat. Bei Repositories vom Typ „Assured OSS“ werden serverseitige Prüfungen durchgeführt.
Das folgende Diagramm zeigt Assured OSS, das mit einem Remote-Repository verbunden ist.
Sicherheit der Softwarelieferkette
Assured Open Source Software ist eine der Google Cloud Komponenten, mit denen Sie Ihre Softwarelieferkette schützen können. Sie können Assured Open Source Software zusammen mit anderen Google Cloud Produkten und ‑Funktionen verwenden, um die Sicherheit von Entwickler-Workflows und ‑Tools, Softwareabhängigkeiten, CI/CD-Systemen zum Erstellen und Bereitstellen Ihrer Software sowie Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run zu verbessern. Weitere Informationen zur Sicherheit der Softwarelieferkette
Nächste Schritte
- Informationen zur Verwendung der kostenlosen Stufe finden Sie unter Assured OSS aktivieren.
- Informationen zur Einbindung in Security Command Center Enterprise finden Sie unter Assured OSS für Codesicherheit einbinden.