有保障的开源软件概览

借助有保障的开源软件 (Assured OSS),您可以将 Google 保护和使用的相同 OSS 软件包纳入您自己的开发者工作流中,从而充分利用 Google 应用于开源软件 (OSS) 的安全措施和经验。

借助 Assured OSS,您可以执行以下操作:

  • 从可信且知名的供应商处获取 OSS 软件包。
  • 通过以 SPDX 等业界标准格式提供的 Assured SBOM,详细了解软件包内容。
  • 通过 CycloneDX 等行业标准格式的 VEX 信息,了解软件包的威胁和安全性。
  • 由于 Google 会主动扫描、查找和修复精选软件包中的新漏洞,因此可降低安全风险。
  • 通过有签名的防篡改provenance,提高对您所用 OSS 完整性的信心。
  • 从 1,000 多个最受欢迎的 Java、Go 和 Python 软件包中进行选择,包括 TensorFlow、Pandas 和 Scikit-learn 等常见的机器学习和人工智能项目。

这些开源软件包由 Google 以安全的方式构建。这些软件包符合软件制品的供应链等级 (SLSA) 3 级要求,并且具有可验证的来源和 SBOM。

Assured OSS 层级

Assured OSS 有免费层级和付费层级。购买 Security Command Center Enterprise 后,即可使用高级层级。

免费层级包含以下内容:

  • 精选代码库中的 Python、Go 和 Java 开源软件包。
  • 手动设置步骤。
  • 在 Google 管理的项目中创建的精选代码库。
  • 适用于开源软件包的通用代理端点。借助此代理,您可以从一个来源下载开源软件包及其元数据,无论这些软件包是否由 Google 构建。
  • 支持 Amazon Web Service (AWS) 账号访问。

高级层级可让您将 Assured OSS 与 Security Command Center Enterprise 集成。它包括以下内容:

  • 精选代码库中的 Python、Go 和 Java 开源软件包。
  • 规范代码库中的 JavaScript 开源软件包。
  • 在 Security Command Center Enterprise 激活过程中自动设置。
  • 在您指定的项目中创建的精选代码库。
  • 由 Google 收集和签名的通用软件包元数据。此元数据提供有关软件包 build、任何漏洞和软件包健康状况的信息。软件包健康信息仅适用于由 Google 构建的软件包。

如需详细了解 Security Command Center Enterprise 的价格,请参阅企业层级的价格

Assured OSS 代码库选项

Assured OSS 软件包存储在 Google 管理的 Artifact Registry 代码库中。您可以使用以下方法之一访问和下载 Assured OSS 提供的开源软件包:

  • 在您的环境中设置远程(也称为镜像代理)代码库,以充当 Google 管理的 Artifact Registry 代码库的代理。您的开发者可以连接到远程代码库来下载软件包。 如果您使用的是 Jfrog Artifactory 或 Sonatype Nexus 等制品管理器,请使用此方法。

  • 使用服务账号直接连接到 Artifact Registry 代码库。如果开发者使用的是 Maven、Gradle、Go 或 pip 等构建工具,请使用此方法。

  • 使用虚拟上游制品库作为开发者的单一访问点,以便他们下载、安装或部署软件包。
    在高级层级中,系统会自动创建两个虚拟仓库:一个用于 Java 软件包,另一个用于 Python 软件包。在免费层级中,您必须自行配置虚拟代码库。您可以使用 Artifact Registry 标准制品库或 Artifact Registry 远程制品库作为上游虚拟制品库。您还可以使用 Assured OSS 类型代码库,它是对虚拟代码库的封装,可访问免费层级和高级层级软件包。Assured OSS 类型代码库执行服务器端检查。

下图显示了连接到远程代码库的 Assured OSS。

连接到远程代码库。

软件供应链安全

Assured Open Source Software 是您可以用来保护软件供应链的 Google Cloud 组件之一。您可以将 Assured Open Source Software 与其他 Google Cloud 产品和功能结合使用,以改善开发者工作流和工具、软件依赖项、用于构建和部署软件的 CI/CD 系统以及 Google Kubernetes Engine 和 Cloud Run 等运行时环境的安全状况。如需了解详情,请参阅软件供应链安全

后续步骤