O Assured Open Source Software (Assured OSS) permite aproveitar a segurança e a experiência que o Google aplica ao software de código aberto (OSS, na sigla em inglês) incorporando os mesmos pacotes de OSS que o Google protege e usa nos seus fluxos de trabalho de desenvolvimento.
O Assured OSS permite que você faça o seguinte:
- Receba seus pacotes de OSS de um fornecedor confiável e conhecido.
- Saiba mais sobre o conteúdo do pacote com os Assured SBOMs, que são fornecidos em formatos padrão do setor, como o SPDX.
- Saiba mais sobre ameaças e segurança de um pacote com informações VEX em um formato padrão do setor, como o CycloneDX.
- Reduza o risco de segurança, já que o Google está ativamente verificando, encontrando e corrigindo novas vulnerabilidades em pacotes selecionados.
- provenance
- Escolha entre mais de mil dos pacotes mais populares de Java, Go e Python, incluindo projetos comuns de machine learning e inteligência artificial, como TensorFlow, Pandas e Scikit-learn.
Os pacotes de código aberto são criados pelo Google de maneira segura. Esses pacotes atendem aos requisitos do nível 3 dos Níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês) e têm uma procedência e um SBOM verificáveis.
Níveis do Assured OSS
O Assured OSS tem um nível sem custo financeiro e um nível Premium. O nível Premium está disponível quando você compra o Security Command Center Premium ou o Security Command Center Enterprise.
O nível sem custo financeiro inclui o seguinte:
- Pacotes de código aberto Python, Go e Java em repositórios selecionados.
- Etapas de configuração manual.
- Repositórios selecionados criados em um projeto gerenciado pelo Google.
- Endpoints de proxy universais para pacotes de código aberto. Esse proxy permite fazer o download de pacotes de código aberto e dos metadados deles de uma única fonte, independentemente de os pacotes terem sido criados pelo Google ou não.
- Suporte ao acesso à conta da Amazon Web Service (AWS).
O nível Premium permite integrar o Assured OSS ao Security Command Center Premium ou ao Security Command Center Enterprise. Ele inclui o seguinte:
- Pacotes de código aberto Python, Go e Java em repositórios selecionados.
- Pacotes de código aberto JavaScript em um repositório canônico.
- Configuração automatizada como parte do processo de ativação no nível da organização para o Security Command Center Premium ou o Security Command Center Enterprise.
- Repositórios selecionados criados em um projeto especificado.
- Metadados de pacote universais coletados e assinados pelo Google. Esses metadados fornecem informações sobre a criação do pacote, vulnerabilidades e integridade do pacote. As informações de integridade do pacote só estão disponíveis para pacotes criados pelo Google.
Para mais informações sobre os preços de assinatura do Security Command Center, consulte Preços do Security Command Center.
Opções de repositório do Assured OSS
Os pacotes do Assured OSS são armazenados em um repositório do Artifact Registry gerenciado pelo Google. É possível acessar e fazer o download dos pacotes de código aberto oferecidos pelo Assured OSS usando um dos seguintes métodos:
Configure um repositório remoto (também chamado de espelho ou proxy) no seu ambiente para atuar como um proxy do repositório do Artifact Registry gerenciado pelo Google. Os desenvolvedores podem se conectar ao repositório remoto para fazer o download dos pacotes. Use esse método se você estiver usando um gerenciador de repositório como o Jfrog Artifactory ou o Sonatype Nexus.
Conecte-se diretamente ao repositório do Artifact Registry usando uma conta de serviço. Use esse método se os desenvolvedores estiverem usando ferramentas de build como Maven, Gradle, Go ou pip.
Use um repositório virtual upstream que atue como um único ponto de acesso para que os desenvolvedores possam fazer o download, instalar ou implantar pacotes.
No nível Premium, dois repositórios virtuais são criados automaticamente: um para pacotes Java e outro para pacotes Python. No nível sem custo financeiro, é necessário configurar um repositório virtual. É possível usar um repositório padrão do Artifact Registry ou um repositório remoto do Artifact Registry como repositório virtual upstream. Também é possível usar um repositório do tipo Assured OSS, que é um wrapper em um repositório virtual que tem acesso a pacotes de nível sem custo financeiro e Premium. O repositório do tipo Assured OSS realiza verificações do lado do servidor.
O diagrama a seguir mostra o Assured OSS conectado a um repositório remoto.
Segurança da cadeia de suprimentos de software
O Assured Open Source Software é um dos Google Cloud componentes que você pode usar para proteger sua cadeia de suprimentos de software. É possível usar o Assured Open Source Software com outros Google Cloud produtos e recursos para melhorar a segurança dos fluxos de trabalho e ferramentas para desenvolvedores, dependências de software, sistemas de CI/CD usados para criar e implantar o software e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run. Para saber mais, consulte Segurança da cadeia de suprimentos de software.
A seguir
- Para usar o nível sem custo financeiro, consulte Ativar o Assured OSS.
- Para integrar ao Security Command Center Enterprise, consulte Integrar com o Assured OSS para segurança de código.