Assured 오픈소스 소프트웨어 (Assured OSS)를 사용하면 Google이 보안을 적용하고 직접 사용하는 오픈소스 소프트웨어 (OSS)를 개발자 워크플로에 통합하여 Google이 제공하는 보안 기능과 경험을 그대로 활용할 수 있습니다.
Assured OSS를 사용하면 다음을 수행할 수 있습니다.
- 신뢰할 수 있는 알려진 공급업체에서 OSS 패키지를 얻습니다.
- SPDX와 같은 업계 표준 형식으로 제공되는 Assured SBOM을 사용하여 패키지 콘텐츠에 대해 자세히 알아보세요.
- CycloneDX와 같은 업계 표준 형식의 VEX 정보를 사용하여 패키지의 위협과 보안에 대해 알아봅니다.
- Google에서 선별된 패키지에서 새로운 취약점을 적극적으로 스캔, 발견, 수정하여 보안 위험을 줄입니다.
- 서명된 조작 방지 provenance를 통해 사용 중인 OSS의 무결성에 대한 신뢰도를 높입니다.
- TensorFlow, Pandas, Scikit-learn과 같은 일반적인 머신러닝 및 인공지능 프로젝트를 포함하여 1, 000개가 넘는 가장 인기 있는 Java, Go, Python 패키지 중에서 선택합니다.
오픈소스 패키지는 Google에서 안전한 방식으로 빌드합니다. 이러한 패키지는 소프트웨어 아티팩트에 대한 공급망 등급 (SLSA) 레벨 3 요구사항을 충족하며 확인 가능한 출처와 SBOM이 있습니다.
Assured OSS 등급
Assured OSS에는 무료 등급과 프리미엄 등급이 있습니다. Security Command Center Enterprise를 구매하면 프리미엄 등급을 사용할 수 있습니다.
무료 등급에는 다음이 포함됩니다.
- 선별된 저장소의 Python, Go, Java 오픈소스 패키지
- 수동 설정 단계
- Google 관리 프로젝트에서 생성된 선별된 저장소입니다.
- 오픈소스 패키지의 범용 프록시 엔드포인트 이 프록시를 사용하면 패키지가 Google에서 빌드되었는지 여부와 관계없이 한 소스에서 오픈소스 패키지와 해당 메타데이터를 다운로드할 수 있습니다.
- Amazon Web Service (AWS) 계정 액세스 지원
프리미엄 등급을 사용하면 Assured OSS를 Security Command Center Enterprise와 통합할 수 있습니다. 여기에는 다음이 포함됩니다.
- 선별된 저장소의 Python, Go, Java 오픈소스 패키지
- 표준 저장소의 JavaScript 오픈소스 패키지
- Security Command Center Enterprise 활성화 프로세스의 일부로 자동 설정됩니다.
- 지정한 프로젝트에 생성된 선별된 저장소입니다.
- Google에서 수집하고 서명한 범용 패키지 메타데이터입니다. 이 메타데이터는 패키지 빌드, 취약점, 패키지 상태에 관한 정보를 제공합니다. 패키지 상태 정보는 Google에서 빌드한 패키지에만 제공됩니다.
Security Command Center Enterprise 가격 책정에 대한 자세한 내용은 Enterprise 등급 가격 책정을 참고하세요.
Assured OSS 저장소 옵션
Assured OSS 패키지는 Google 관리형 Artifact Registry 저장소에 저장됩니다. 다음 방법 중 하나를 사용하여 Assured OSS에서 제공하는 오픈소스 패키지에 액세스하고 다운로드할 수 있습니다.
Google 관리 Artifact Registry 저장소의 프록시로 작동하도록 환경에 원격 (미러 또는 프록시라고도 함) 저장소를 설정합니다. 개발자는 원격 저장소에 연결하여 패키지를 다운로드할 수 있습니다. Jfrog Artifactory 또는 Sonatype Nexus와 같은 저장소 관리자를 사용하는 경우 이 방법을 사용하세요.
서비스 계정을 사용하여 Artifact Registry 저장소에 직접 연결합니다. 개발자가 Maven, Gradle, Go, pip과 같은 빌드 도구를 사용하는 경우 이 방법을 사용하세요.
개발자가 패키지를 다운로드, 설치 또는 배포할 수 있도록 단일 액세스 포인트로 작동하는 가상 업스트림 저장소를 사용합니다.
Premium 등급에서는 Java 패키지용과 Python 패키지용 가상 저장소 두 개가 자동으로 생성됩니다. 무료 등급에서는 가상 저장소를 직접 구성해야 합니다. Artifact Registry 표준 저장소 또는 Artifact Registry 원격 저장소를 업스트림 가상 저장소로 사용할 수 있습니다. 무료 등급 및 프리미엄 등급 패키지에 모두 액세스할 수 있는 가상 저장소의 래퍼인 Assured OSS 유형 저장소를 사용할 수도 있습니다. Assured OSS 유형 저장소는 서버 측 검사를 실행합니다.
다음 다이어그램은 원격 저장소에 연결된 Assured OSS를 보여줍니다.
소프트웨어 공급망 보안
Assured Open Source Software는 소프트웨어 공급망을 보호하는 데 사용할 수 있는 Google Cloud 구성요소 중 하나입니다. Assured 오픈소스 소프트웨어를 다른 Google Cloud 제품 및 기능과 함께 사용하여 개발자 워크플로 및 도구, 소프트웨어 종속 항목, 소프트웨어 빌드 및 배포에 사용되는 CI/CD 시스템, Google Kubernetes Engine 및 Cloud Run과 같은 런타임 환경의 보안 상황을 개선할 수 있습니다. 자세한 내용은 소프트웨어 공급망 보안을 참조하세요.
다음 단계
- 무료 등급을 사용하려면 Assured OSS 사용 설정을 참고하세요.
- Security Command Center Enterprise와 통합하려면 코드 보안을 위해 Assured OSS와 통합을 참고하세요.