Assured Open Source Software (Assured OSS) vous permet de profiter de la sécurité et de l'expérience que Google applique aux logiciels Open Source (OSS) en intégrant les mêmes packages OSS que ceux que Google sécurise et utilise dans vos propres workflows de développement.
Assured OSS vous permet d'effectuer les opérations suivantes :
- Obtenez vos packages OSS auprès d'un fournisseur fiable et connu.
- En savoir plus sur le contenu des packages avec les SBOM assurés fournis dans des formats standards du secteur tels que SPDX.
- Découvrez les menaces et la sécurité d'un package grâce aux informations VEX dans un format standard du secteur tel que CycloneDX.
- Réduisez les risques de sécurité, car Google recherche, détecte et corrige activement les nouvelles failles dans les packages sélectionnés.
- Renforcez la confiance dans l'intégrité de l'OSS que vous utilisez grâce à une provenance signée et inviolable.
- Choisissez parmi plus d'un millier de packages Java, Go et Python les plus populaires, y compris des projets courants de machine learning et d'intelligence artificielle comme TensorFlow, Pandas et Scikit-learn.
Les packages Open Source sont conçus par Google de manière sécurisée. Ces packages répondent aux exigences du niveau 3 de SLSA (Supply-chain Levels for Software Artifacts) et disposent d'une provenance et d'une SBOM vérifiables.
Niveaux Assured OSS
Assured OSS propose un niveau sans frais et un niveau Premium. Le niveau Premium est disponible lorsque vous achetez Security Command Center Enterprise.
Le forfait sans frais inclut les éléments suivants :
- Packages Open Source Python, Go et Java dans des dépôts sélectionnés.
- Étapes de configuration manuelle.
- Dépôts sélectionnés créés dans un projet géré par Google.
- Points de terminaison de proxy universels pour les packages Open Source. Ce proxy vous permet de télécharger des packages Open Source et leurs métadonnées à partir d'une seule source, que les packages aient été créés par Google ou non.
- Compatibilité avec l'accès aux comptes Amazon Web Services (AWS).
Le niveau Premium vous permet d'intégrer Assured OSS à Security Command Center Enterprise. Il comprend les éléments suivants :
- Packages Open Source Python, Go et Java dans des dépôts sélectionnés.
- Packages JavaScript Open Source dans un dépôt canonique.
- Configuration automatisée dans le cadre du processus d'activation de Security Command Center Enterprise.
- Dépôts sélectionnés créés dans un projet que vous spécifiez.
- Métadonnées de package universelles collectées et signées par Google. Ces métadonnées fournissent des informations sur la compilation du package, les éventuelles failles et l'état du package. Les informations sur l'état du package ne sont disponibles que pour les packages créés par Google.
Pour en savoir plus sur les tarifs de Security Command Center Enterprise, consultez Tarifs du niveau Enterprise.
Options de dépôt Assured OSS
Les packages Assured OSS sont stockés dans un dépôt Artifact Registry géré par Google. Vous pouvez accéder aux packages Open Source proposés par Assured OSS et les télécharger à l'aide de l'une des méthodes suivantes :
Configurez un dépôt distant (également appelé miroir ou proxy) dans votre environnement pour qu'il serve de proxy pour le dépôt Artifact Registry géré par Google. Vos développeurs peuvent se connecter au dépôt distant pour télécharger les packages. Utilisez cette méthode si vous utilisez un gestionnaire de dépôt tel que Jfrog Artifactory ou Sonatype Nexus.
Connectez-vous directement au dépôt Artifact Registry à l'aide d'un compte de service. Utilisez cette méthode si les développeurs utilisent des outils de compilation tels que Maven, Gradle, Go ou pip.
Utilisez un dépôt en amont virtuel qui sert de point d'accès unique pour vos développeurs afin qu'ils puissent télécharger, installer ou déployer des packages.
Dans le niveau Premium, deux dépôts virtuels sont créés automatiquement : un pour les packages Java et un pour les packages Python. Dans le forfait sans frais, vous devez configurer vous-même un dépôt virtuel. Vous pouvez utiliser un dépôt standard Artifact Registry ou un dépôt distant Artifact Registry comme dépôt virtuel en amont. Vous pouvez également utiliser un dépôt de type Assured OSS, qui est un wrapper sur un dépôt virtuel ayant accès aux packages de niveau sans frais et Premium. Le dépôt de type Assured OSS effectue des vérifications côté serveur.
Le schéma suivant montre Assured OSS connecté à un dépôt distant.
Sécurité sur la chaîne d'approvisionnement logicielle
Assured Open Source Software est l'un des composants Google Cloud que vous pouvez utiliser pour protéger votre chaîne d'approvisionnement logicielle. Vous pouvez utiliser Assured Open Source Software avec d'autres produits et fonctionnalités Google Cloud pour améliorer la sécurité des workflows et outils de développement, des dépendances logicielles, des systèmes CI/CD utilisés pour compiler et déployer vos logiciels, et des environnements d'exécution tels que Google Kubernetes Engine et Cloud Run. Pour en savoir plus, consultez Sécurité de la chaîne d'approvisionnement logicielle.
Étapes suivantes
- Pour utiliser le niveau sans frais, consultez Activer Assured OSS.
- Pour l'intégrer à Security Command Center Enterprise, consultez Intégrer Assured OSS pour la sécurité du code.