Assured Open Source Software (Assured OSS) ti consente di sfruttare la sicurezza e l'esperienza che Google applica al software open source (OSS) incorporando gli stessi pacchetti OSS che Google protegge e utilizza nei tuoi workflow per sviluppatori.
Assured OSS ti consente di:
- Richiedere i pacchetti OSS da un fornitore noto e attendibile.
- Scopri di più sui contenuti dei pacchetti con gli Assured SBOM forniti nei formati standard del settore, come SPDX.
- Scoprire le minacce e la sicurezza di un pacchetto con le informazioni VEX in un formato standard del settore come CycloneDX.
- Ridurre il rischio per la sicurezza, poiché Google esegue attivamente la scansione, la ricerca e la correzione di nuove vulnerabilità nei pacchetti selezionati.
- Aumentare la fiducia nell'integrità dell'OSS che utilizzi tramite la provenienza provenance.
- Scegliere tra più di mille pacchetti Java, Go e Python più diffusi, inclusi progetti comuni di machine learning e intelligenza artificiale come TensorFlow, Pandas e Scikit-learn.
I pacchetti open source vengono creati da Google in modo sicuro. Questi pacchetti soddisfano i requisiti di Supply-chain Levels for Software Artifacts (SLSA) livello 3 e hanno una provenienza e un SBOM verificabili.
Livelli di Assured OSS
Assured OSS ha un livello senza costi e un livello Premium. Il livello Premium è disponibile quando acquisti Security Command Center Premium o Security Command Center Enterprise.
Il livello senza costi include:
- Pacchetti open source Python, Go e Java in repository selezionati.
- Passaggi di configurazione manuale.
- Repository selezionati creati in un progetto gestito da Google.
- Endpoint proxy universali per i pacchetti open source. Questo proxy ti consente di scaricare i pacchetti open source e i relativi metadati da un'unica origine, indipendentemente dal fatto che i pacchetti siano stati creati da Google o meno.
- Supporto per l'accesso all'account Amazon Web Service (AWS).
Il livello Premium ti consente di integrare Assured OSS con Security Command Center Premium o Security Command Center Enterprise. Include quanto segue:
- Pacchetti open source Python, Go e Java in repository selezionati.
- Pacchetti open source JavaScript in un repository canonico.
- Configurazione automatica nell'ambito del processo di attivazione a livello di organizzazione per Security Command Center Premium o Security Command Center Enterprise.
- Repository selezionati creati in un progetto specificato.
- Metadati dei pacchetti universali raccolti e firmati da Google. Questi metadati forniscono informazioni sulla build del pacchetto, su eventuali vulnerabilità e sullo stato del pacchetto. Le informazioni sullo stato del pacchetto sono disponibili solo per i pacchetti creati da Google.
Per ulteriori informazioni sui prezzi degli abbonamenti a Security Command Center, consulta la pagina Prezzi di Security Command Center.
Opzioni del repository Assured OSS
I pacchetti Assured OSS vengono archiviati in un repository Artifact Registry gestito da Google. Puoi accedere e scaricare i pacchetti open source offerti da Assured OSS utilizzando uno dei seguenti metodi:
Configura un repository remoto (chiamato anche mirror o proxy) nel tuo ambiente per fungere da proxy per il repository Artifact Registry gestito da Google. I tuoi sviluppatori possono connettersi al repository remoto per scaricare i pacchetti. Utilizza questo metodo se utilizzi un gestore di repository come Jfrog Artifactory o Sonatype Nexus.
Connettiti direttamente al repository Artifact Registry utilizzando un account di servizio. Utilizza questo metodo se gli sviluppatori utilizzano strumenti di build come Maven, Gradle, Go o pip.
Utilizza un repository upstream virtuale che funge da unico punto di accesso per gli sviluppatori in modo che possano scaricare, installare o eseguire il deployment dei pacchetti.
Nel livello Premium, vengono creati automaticamente due repository virtuali: uno per i pacchetti Java e uno per i pacchetti Python. Nel livello senza costi, devi configurare un repository virtuale. Puoi utilizzare un repository standard di Artifact Registry o un repository remoto di Artifact Registry come repository virtuale upstream. Puoi anche utilizzare un repository di tipo Assured OSS, che è un wrapper su un repository virtuale che ha accesso ai pacchetti dei livelli senza costi e Premium. Il repository di tipo Assured OSS esegue controlli lato server.
Il seguente diagramma mostra Assured OSS connesso a un repository remoto.
Sicurezza della catena di fornitura del software
Assured Open Source Software è uno dei Google Cloud componenti che puoi utilizzare per proteggere la catena di fornitura del software. Puoi utilizzare Assured Open Source Software insieme ad altri Google Cloud prodotti e funzionalità per migliorare la configurazione di sicurezza di workflow e strumenti per sviluppatori, dipendenze software, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software, e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Per saperne di più, consulta la pagina Sicurezza della catena di fornitura del software.
Passaggi successivi
- Per utilizzare il livello senza costi, consulta la pagina Abilitare Assured OSS.
- Per l'integrazione con Security Command Center Enterprise, consulta la pagina Integrare con Assured OSS per la sicurezza del codice.