Com o software de código aberto Assured (Assured OSS), você aproveita a segurança e a experiência que o Google aplica ao software de código aberto (OSS) ao incorporar os mesmos pacotes de OSS que o Google protege e usa nos seus próprios fluxos de trabalho de desenvolvimento.
Com o Assured OSS, você pode fazer o seguinte:
- Receba seus pacotes de OSS de um fornecedor confiável e conhecido.
- Saiba mais sobre o conteúdo dos pacotes com as SBOMs do Assured, que são fornecidas em formatos padrão do setor, como SPDX.
- Saiba mais sobre ameaças e segurança de um pacote com informações do VEX em um formato padrão do setor, como o CycloneDX.
- Reduza o risco de segurança, já que o Google está ativamente verificando, encontrando e corrigindo novas vulnerabilidades em pacotes selecionados.
- Aumente a confiança na integridade do OSS que você está usando com provenance comprovada e assinada.
- Escolha entre mais de mil pacotes das linguagens Java, Go e Python mais usadas, incluindo projetos comuns de machine learning e inteligência artificial, como TensorFlow, Pandas e Scikit-learn.
Os pacotes de código aberto são criados pelo Google de maneira segura. Esses pacotes atendem aos requisitos do nível 3 da cadeia de suprimentos para artefatos de software (SLSA) e têm uma origem e uma lista de materiais de software (SBOM) verificáveis.
Níveis do Assured OSS
O Assured OSS tem um nível sem custo financeiro e um Premium. O nível Premium fica disponível quando você compra o Security Command Center Enterprise.
O Nível sem custos financeiros inclui o seguinte:
- Pacotes de código aberto em Python, Go e Java em repositórios selecionados.
- Etapas de configuração manual.
- Repositórios selecionados criados em um projeto gerenciado pelo Google.
- Endpoints de proxy universais para pacotes de código aberto. Com ele, é possível baixar pacotes de código aberto e os metadados deles de uma única fonte, sejam os pacotes criados pelo Google ou não.
- Suporte para acesso à conta da Amazon Web Service (AWS).
Com o nível Premium, é possível integrar o Assured OSS ao Security Command Center Enterprise. Isso inclui o seguinte:
- Pacotes de código aberto em Python, Go e Java em repositórios selecionados.
- Pacotes JavaScript de código aberto em um repositório canônico.
- Configuração automatizada como parte do processo de ativação do Security Command Center Enterprise.
- Repositórios selecionados criados em um projeto especificado.
- Metadados universais do pacote coletados e assinados pelo Google. Esses metadados fornecem informações sobre o build do pacote, vulnerabilidades e integridade do pacote. As informações de integridade do pacote estão disponíveis apenas para pacotes criados pelo Google.
Para mais informações sobre os preços do Security Command Center Enterprise, consulte Preços do nível Enterprise.
Opções de repositório do Assured OSS
Os pacotes do Assured OSS são armazenados em um repositório do Artifact Registry gerenciado pelo Google. É possível acessar e baixar os pacotes de código aberto oferecidos pelo Assured OSS usando um dos seguintes métodos:
Configure um repositório remoto (também chamado de espelho ou proxy) no seu ambiente para atuar como um proxy do repositório do Artifact Registry gerenciado pelo Google. Os desenvolvedores podem se conectar ao repositório remoto para fazer o download dos pacotes. Use esse método se você estiver usando um gerenciador de repositório como o Jfrog Artifactory ou o Sonatype Nexus.
Conecte-se diretamente ao repositório do Artifact Registry usando uma conta de serviço. Use esse método se os desenvolvedores estiverem usando ferramentas de build como Maven, Gradle, Go ou pip.
Use um repositório upstream virtual que funcione como um único ponto de acesso para seus desenvolvedores, para que eles possam baixar, instalar ou implantar pacotes.
No nível Premium, dois repositórios virtuais são criados automaticamente: um para pacotes Java e outro para pacotes Python. No nível sem custo financeiro, você precisa configurar um repositório virtual por conta própria. É possível usar um repositório padrão ou remoto do Artifact Registry como repositório virtual upstream. Você também pode usar um repositório do tipo Assured OSS, que é um wrapper em um repositório virtual com acesso aos pacotes dos níveis Free e Premium. O repositório do tipo OSS garantido realiza verificações do lado do servidor.
O diagrama a seguir mostra o OSS de confiança conectado a um repositório remoto.
Segurança da cadeia de suprimentos de software
O Assured Open Source Software é um dos componentes do Google Cloud que você pode usar para proteger sua cadeia de suprimentos de software. Você pode usar o Assured Open Source Software com outros produtos e recursos do Google Cloud para melhorar a postura de segurança dos fluxos de trabalho e ferramentas de desenvolvedores, dependências de software, sistemas de CI/CD usados para criar e implantar seu software e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run. Para saber mais, consulte Segurança da cadeia de suprimentos de software.
A seguir
- Para usar o nível sem custo financeiro, consulte Ativar o Assured OSS.
- Para integrar com o Security Command Center Enterprise, consulte Integrar com o Assured OSS para segurança de código.