Assured Open Source Software (Assured OSS) te permite aprovechar la seguridad y la experiencia que Google aplica al software de código abierto (OSS) incorporando los mismos paquetes de OSS que Google protege y usa en tus propios flujos de trabajo de desarrollador.
Assured OSS te permite hacer lo siguiente:
- Obtener tus paquetes de OSS de un proveedor conocido y de confianza
- Obtener más información sobre el contenido de los paquetes con Assured SBOM, que se proporciona en formatos estándar de la industria, como SPDX.
- Obtener información sobre las amenazas y la seguridad de un paquete con la información de VEX en un formato estándar de la industria, como CycloneDX.
- Reducir el riesgo de seguridad, ya que Google analiza, detecta y corrige de forma activa las vulnerabilidades nuevas en los paquetes seleccionados
- Aumentar la confianza en la integridad del OSS que usas a través de la procedencia firmada y a prueba de manipulaciones provenance.
- Elegir entre más de mil de los paquetes más populares de Java, Go y Python, incluidos los proyectos comunes de aprendizaje automático y de inteligencia artificial, como TensorFlow, Pandas y Scikit-learn
Google compila los paquetes de código abierto de forma segura. Estos paquetes cumplen con los requisitos del nivel 3 de Supply-chain Levels for Software Artifacts (SLSA) y tienen una procedencia y una SBOM verificables.
Niveles de Assured OSS
Assured OSS tiene un nivel gratuito y un nivel Premium. El nivel Premium está disponible cuando compras Security Command Center Premium o Security Command Center Enterprise.
El nivel gratuito incluye lo siguiente:
- Paquetes de código abierto de Python, Go y Java en repositorios seleccionados
- Pasos de configuración manual
- Repositorios seleccionados creados en un proyecto administrado por Google
- Extremos de proxy universales para paquetes de código abierto Este proxy te permite descargar paquetes de código abierto y sus metadatos de una fuente, ya sea que Google haya compilado los paquetes o no
- Compatibilidad con el acceso a la cuenta de Amazon Web Service (AWS)
El nivel Premium te permite integrar Assured OSS con Security Command Center Premium o Security Command Center Enterprise. Incluye lo siguiente:
- Paquetes de código abierto de Python, Go y Java en repositorios seleccionados
- Paquetes de código abierto de JavaScript en un repositorio canónico
- Configuración automatizada como parte del proceso de activación a nivel de la organización para Security Command Center Premium o Security Command Center Enterprise
- Repositorios seleccionados creados en un proyecto que especificas
- Metadatos de paquetes universales que Google recopila y firma Estos metadatos proporcionan información sobre la compilación del paquete, las vulnerabilidades y el estado del paquete. La información sobre el estado del paquete solo está disponible para los paquetes que compila Google.
Para obtener más información sobre los precios de suscripción de Security Command Center, consulta Precios de Security Command Center.
Opciones de repositorio de Assured OSS
Los paquetes de Assured OSS se almacenan en un repositorio de Artifact Registry administrado por Google. Puedes acceder a los paquetes de código abierto que ofrece Assured OSS y descargarlos con uno de los siguientes métodos:
Configura un repositorio remoto (también llamado mirror o proxy) en tu entorno para que actúe como proxy del repositorio de Artifact Registry administrado por Google. Tus desarrolladores pueden conectarse al repositorio remoto para descargar los paquetes. Usa este método si usas un administrador de repositorios como Jfrog Artifactory o Sonatype Nexus.
Conéctate directamente al repositorio de Artifact Registry con una cuenta de servicio. Usa este método si los desarrolladores usan herramientas de compilación como Maven, Gradle, Go o pip.
Usa un repositorio virtual de nivel superior que actúe como un único punto de acceso para tus desarrolladores, de modo que puedan descargar, instalar o implementar paquetes.
En el nivel Premium, se crean automáticamente dos repositorios virtuales: uno para paquetes de Java y otro para paquetes de Python. En el nivel gratuito, debes configurar un repositorio virtual por tu cuenta. Puedes usar un repositorio estándar de Artifact Registry o un repositorio remoto de Artifact Registry como tu repositorio virtual de nivel superior. También puedes usar un repositorio de tipo Assured OSS, que es un wrapper sobre un repositorio virtual que tiene acceso a los paquetes de nivel gratuito y Premium. El repositorio de tipo Assured OSS realiza verificaciones del servidor.
En el siguiente diagrama, se muestra Assured OSS conectado a un repositorio remoto.
Seguridad de la cadena de suministro del software
Assured Open Source Software es uno de los Google Cloud componentes que puedes usar para proteger tu cadena de suministro de software. Puedes usar Assured Open Source Software junto con otro Google Cloud productos y funciones para mejorar la seguridad de flujos de trabajo de desarrolladores y herramientas, dependencias de software, sistemas de CI/CD utilizados para compilar y, luego, implementar tu software y entornos de ejecución, como Google Kubernetes Engine y Cloud Run. Para obtener más información, consulta Seguridad de la cadena de suministro del software.
¿Qué sigue?
- Para usar el nivel gratuito, consulta Habilita Assured OSS.
- Para realizar la integración con Security Command Center Enterprise, consulta Realiza la integración con Assured OSS para la seguridad del código.