Assured Open Source Software(Assured OSS)を使用すると、Google がセキュリティを確保し、実際に使用しているものと同じ OSS パッケージをお客様自身の開発ワークフローに取り入れることで、Google がオープンソース ソフトウェア(OSS)に適用しているセキュリティの仕組みやその経験をそのまま活かすことができます。
Assured OSS を使用すると、次のことができます。
- 信頼できる既知のサプライヤーから OSS パッケージを取得できる。
- SPDX などの業界標準の形式で提供される Assured SBOMs を使用して、パッケージの内容について詳しく把握できる。
- CycloneDX などの業界標準の形式の VEX 情報を使用して、パッケージの脅威とセキュリティについて把握できる。
- Google がキュレート済みパッケージを常時スキャンし、新しい脆弱性を検出、修正しているため、セキュリティ リスクを低減できる。
- 署名付きの改ざん防止の 来歴情報provenance
- TensorFlow、Pandas、Scikit-learn など、一般的な機械学習と AI のプロジェクトが含まれる、厳選された人気の高い Java、Go、Python のパッケージ 1,000 種類以上から選択できる。
オープンソース パッケージは、Google によって安全にビルドされています。これらのパッケージ は、ソフトウェア アーティファクトのためのサプライ チェーン レベル(SLSA)のレベル 3 の要件を満たしており、検証可能な 来歴情報と SBOM が含まれています。
Assured OSS のティア
Assured OSS には、無料ティアとプレミアム ティアがあります。プレミアム ティアは、Security Command Center Premium または Security Command Center Enterprise を購入すると利用できます。
無料ティアには、次のものが含まれます。
- キュレート済みリポジトリ内の Python、Go、Java のオープンソース パッケージ。
- 手動設定の手順。
- Google マネージド プロジェクトに作成されたキュレート済みリポジトリ。
- オープンソース パッケージ用のユニバーサル プロキシ エンドポイント。このプロキシを使用すると、パッケージが Google によってビルドされたかどうかに関係なく、1 つのソースからオープンソース パッケージとそのメタデータをダウンロードできます。
- Amazon Web Service(AWS)アカウントへのアクセスをサポート。
プレミアム ティアでは、Assured OSS を Security Command Center Premium または Security Command Center Enterprise と 統合できます。次のものが含まれます。
- キュレート済みリポジトリ内の Python、Go、Java のオープンソース パッケージ。
- 正規リポジトリ内の JavaScript オープンソース パッケージ。
- Security Command Center Premium または Security Command Center Enterprise の組織レベルの有効化プロセスの一部としての自動設定。
- 指定したプロジェクトに作成されたキュレート済みリポジトリ。
- Google によって収集され、署名されたユニバーサル パッケージ メタデータ。このメタデータには、パッケージのビルド、脆弱性、パッケージの健全性に関する情報が含まれています。パッケージの健全性情報は、Google によってビルドされたパッケージでのみ使用できます。
Security Command Center のサブスクリプション料金の詳細については、 Security Command Center の料金をご覧ください。
Assured OSS リポジトリのオプション
Assured OSS パッケージは、Google マネージドの Artifact Registry リポジトリに保存されます。Assured OSS が提供するオープンソース パッケージには、次のいずれかの方法でアクセスしてダウンロードできます。
Google マネージドの Artifact Registry リポジトリのプロキシとして機能するように、環境にリモート(ミラーまたはプロキシとも呼ばれます)リポジトリを設定します。デベロッパーはリモート リポジトリに接続してパッケージをダウンロードできます。 Jfrog Artifactory や Sonatype Nexus などのリポジトリ マネージャーを使用している場合は、この方法を使用します。
サービス アカウントを使用して Artifact Registry リポジトリに直接接続します。デベロッパーが Maven、Gradle、Go、pip などのビルドツールを使用している場合は、この方法を使用します。
デベロッパーがパッケージをダウンロード、インストール、デプロイできるように、単一のアクセス ポイントとして機能する仮想アップストリーム リポジトリを使用します。
プレミアム ティアでは、Java パッケージ用と Python パッケージ用の 2 つの仮想リポジトリが自動的に作成されます。無料ティアでは、仮想リポジトリを手動で構成する必要があります。Artifact Registry 標準リポジトリまたは Artifact Registry リモート リポジトリをアップストリーム仮想リポジトリとして使用できます。また、Assured OSS タイプのレポジトリを使用することもできます。これは、無料ティアとプレミアム ティアの両方のパッケージにアクセスできる仮想リポジトリのラッパーです。Assured OSS タイプのレポジトリは、サーバーサイド チェックを実行します。
次の図は、リモート リポジトリに接続された Assured OSS を示しています。
ソフトウェア サプライ チェーンのセキュリティ
Assured Open Source Software は、ソフトウェア サプライ チェーンの保護に使用できる Google Cloud コンポーネントの一つです。 Assured Open Source Software を他の Google Cloud プロダクトや 機能と組み合わせて使用すると、デベロッパーのワークフローやツール、 ソフトウェアの依存関係、ソフトウェアのビルドとデプロイに使用される CI/CD システム、 Google Kubernetes Engine や Cloud Run などのランタイム環境のセキュリティ体制を強化できます。詳細については、 ソフトウェア サプライ チェーンのセキュリティをご覧ください。
次のステップ
- 無料ティアを使用するには、Assured OSS を有効にするをご覧ください。
- Security Command Center Enterprise と統合するには、コード セキュリティのために Assured OSS と統合するをご覧ください。