Mit Assured Open Source Software (Assured OSS) profitieren Sie von Sicherheitsfunktionen, die Google auf Open-Source-Software (OSS) anwendet. Dazu werden die gleichen OSS-Pakete, die Google sichert und verwendet, in Ihre eigenen Entwicklerworkflows eingebunden.
Assured OSS bietet folgende Möglichkeiten:
- OSS-Pakete von einem vertrauenswürdigen, bekannten Anbieter abrufen
- Mit Assured SBOMs, die in Branchenstandardformaten wie SPDX bereitgestellt werden, können Sie mehr über den Inhalt von Paketen erfahren.
- Mit VEX-Informationen in einem Branchenstandardformat wie CycloneDX können Sie mehr über Bedrohungen und die Sicherheit eines Pakets erfahren.
- Sicherheitsrisiken reduzieren, da Google aktiv neue Sicherheitslücken in kuratierten Paketen scannt, findet und behebt.
- Erhöhen Sie das Vertrauen in die Integrität der von Ihnen verwendeten OSS durch signierte, manipulationssichere provenance.
- Wählen Sie aus über tausend der beliebtesten Java-, Go- und Python-Pakete, darunter gängige Projekte für maschinelles Lernen und künstliche Intelligenz wie TensorFlow, Pandas und Scikit-learn.
Die Open-Source-Pakete werden von Google auf sichere Weise erstellt. Diese Pakete erfüllen die Anforderungen von SLSA-Level 3 und haben eine überprüfbare Herkunft und SBOM.
Assured OSS-Stufen
Assured OSS bietet eine kostenlose und eine Premium-Stufe. Die Premium-Stufe ist verfügbar, wenn Sie Security Command Center Enterprise erwerben.
Das kostenlose Abo umfasst Folgendes:
- Open-Source-Pakete für Python, Go und Java in kuratierten Repositories.
- Manuelle Einrichtungsschritte.
- In einem von Google verwalteten Projekt erstellte kuratierte Repositories.
- Universelle Proxy-Endpunkte für Open-Source-Pakete. Mit diesem Proxy können Sie Open-Source-Pakete und ihre Metadaten aus einer Quelle herunterladen, unabhängig davon, ob die Pakete von Google erstellt wurden.
- Unterstützung für den Zugriff auf Amazon Web Service-Konten (AWS-Konten).
Mit der Premium-Stufe können Sie Assured OSS in Security Command Center Enterprise einbinden. Dazu gehören:
- Open-Source-Pakete für Python, Go und Java in kuratierten Repositories.
- JavaScript-Open-Source-Pakete in einem kanonischen Repository.
- Automatisierte Einrichtung im Rahmen der Aktivierung von Security Command Center Enterprise.
- Kuratierte Repositories, die in einem von Ihnen angegebenen Projekt erstellt werden.
- Universelle Paketmetadaten, die von Google erhoben und signiert werden. Diese Metadaten enthalten Informationen zum Paket-Build, zu etwaigen Sicherheitslücken und zum Paketstatus. Die Informationen zum Paketstatus sind nur für Pakete verfügbar, die von Google erstellt wurden.
Weitere Informationen zu den Preisen für Security Command Center Enterprise finden Sie unter Preise für die Enterprise-Stufe.
Assured OSS-Repository-Optionen
Assured OSS-Pakete werden in einem von Google verwalteten Artifact Registry-Repository gespeichert. Sie haben folgende Möglichkeiten, auf die von Assured OSS angebotenen Open-Source-Pakete zuzugreifen und sie herunterzuladen:
Richten Sie in Ihrer Umgebung ein Remote-Repository (auch Spiegel oder Proxy genannt) ein, das als Proxy für das von Google verwaltete Artifact Registry-Repository dient. Ihre Entwickler können eine Verbindung zum Remote-Repository herstellen, um die Pakete herunterzuladen. Verwenden Sie diese Methode, wenn Sie einen Repository-Manager wie Jfrog Artifactory oder Sonatype Nexus verwenden.
Stellen Sie mit einem Dienstkonto eine direkte Verbindung zum Artifact Registry-Repository her. Verwenden Sie diese Methode, wenn Entwickler Build-Tools wie Maven, Gradle, Go oder pip verwenden.
Verwenden Sie ein virtuelles Upstream-Repository, das als zentraler Zugriffspunkt für Ihre Entwickler dient, damit sie Pakete herunterladen, installieren oder bereitstellen können.
Im Premium-Tarif werden automatisch zwei virtuelle Repositories erstellt: eines für Java-Pakete und eines für Python-Pakete. Im Free-Tarif müssen Sie ein virtuelles Repository selbst konfigurieren. Sie können ein Artifact Registry-Standard-Repository oder ein Artifact Registry-Remote-Repository als Upstream-Repository verwenden. Sie können auch ein Assured OSS-Repository verwenden. Das ist ein Wrapper für ein virtuelles Repository, das Zugriff auf Pakete der Free- und Premium-Stufe hat. Ein Repository vom Typ „Assured OSS“ führt serverseitige Prüfungen durch.
Das folgende Diagramm zeigt Assured OSS, das mit einem Remote-Repository verbunden ist.
Sicherheit der Softwarelieferkette
Assured Open Source Software ist eine der Google Cloud Komponenten, mit denen Sie Ihre Softwarelieferkette schützen können. Sie können Assured Open Source Software zusammen mit anderen Google Cloud Produkten und ‑Funktionen verwenden, um die Sicherheit von Entwickler-Workflows und ‑Tools, Softwareabhängigkeiten, CI/CD-Systemen zum Erstellen und Bereitstellen Ihrer Software sowie Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run zu verbessern. Weitere Informationen zur Sicherheit der Softwarelieferkette
Nächste Schritte
- Informationen zur Verwendung der kostenlosen Stufe finden Sie unter Assured OSS aktivieren.
- Informationen zur Einbindung in Security Command Center Enterprise finden Sie unter Assured OSS für Codesicherheit einbinden.