Assured Open Source Software 總覽

有了 Assured Open Source Software (Assured OSS),您就能將 Google 保護及使用的 OSS 套件,用於自家開發人員的工作流程中,享有 Google 用於保護開放原始碼軟體 (OSS) 的資安機制和服務。

Assured OSS 可讓您執行下列操作:

  • 從可信任的知名供應商取得 OSS 套件。
  • 透過以 SPDX 等業界標準格式提供的可信 SBOM,進一步瞭解套件內容。
  • CycloneDX 等業界標準格式,透過 VEX 資訊瞭解套件的威脅和安全性。
  • Google 會主動掃描、找出並修正精選套件中的新漏洞,降低安全風險。
  • 透過經過簽署和防竄改的provenance,提高對所用 OSS 完整性的信心。
  • 從 1,000 多個最熱門的 Java、Go 和 Python 套件中選擇,包括 TensorFlow、Pandas 和 Scikit-learn 等常見的機器學習和人工智慧專案。

這些開放原始碼套件是由 Google 以安全的方式建構而成。這些套件符合軟體構件供應鏈級別 (SLSA) 第 3 級要求,且具有可驗證的來源和軟體物料清單 (SBOM)。

Assured OSS 方案

Assured OSS 提供免費級和進階級服務。購買 Security Command Center Enterprise 時,即可使用 Premium 級別。

免費層級包含下列項目:

  • 精選存放區中的 Python、Go 和 Java 開放原始碼套件。
  • 手動設定步驟。
  • 在 Google 管理的專案中建立精選存放區。
  • 開放原始碼套件的通用 Proxy 端點。無論套件是否由 Google 建構,您都可以透過這個 Proxy 從單一來源下載開放原始碼套件及其相關中繼資料。
  • 支援 Amazon Web Service (AWS) 帳戶存取權。

透過 Premium 方案,您可以將 Assured OSS 與 Security Command Center Enterprise 整合。包括:

  • 精選存放區中的 Python、Go 和 Java 開放原始碼套件。
  • 標準存放區中的 JavaScript 開放原始碼套件。
  • 在啟用 Security Command Center Enterprise 的過程中,系統會自動完成設定。
  • 在您指定的專案中建立的精選存放區。
  • 由 Google 收集及簽署的通用套件中繼資料。這項中繼資料提供套件建構、任何安全漏洞和套件健康狀態的相關資訊。套件健康狀態資訊僅適用於 Google 建構的套件。

如要進一步瞭解 Security Command Center Enterprise 的定價,請參閱企業版定價

Assured OSS 存放區選項

Assured OSS 套件會儲存在 Google 管理的 Artifact Registry 存放區。您可以透過下列其中一種方式,存取及下載 Assured OSS 提供的開放原始碼套件:

  • 在環境中設定遠端 (也稱為「鏡像」或「Proxy」) 存放區,做為 Google 管理的 Artifact Registry 存放區的 Proxy。開發人員可以連線至遠端存放區,下載套件。 如果您使用 Jfrog Artifactory 或 Sonatype Nexus 等存放區管理工具,請使用這個方法。

  • 使用服務帳戶直接連線至 Artifact Registry 存放區。如果開發人員使用 Maven、Gradle、Go 或 pip 等建構工具,請使用這個方法。

  • 使用虛擬上游存放區做為開發人員的單一存取點,方便他們下載、安裝或部署套件。
    在 Premium 方案中,系統會自動建立兩個虛擬存放區,分別用於 Java 和 Python 套件。在免費層級中,您必須自行設定虛擬存放區。您可以將 Artifact Registry 標準存放區或 Artifact Registry 遠端存放區做為上游虛擬存放區。您也可以使用 Assured OSS 類型存放區,這是虛擬存放區的包裝函式,可存取免費和進階層級的套件。Assured OSS 類型存放區會執行伺服器端檢查。

下圖顯示 Assured OSS 連線至遠端存放區。

連線至遠端存放區。

軟體供應鏈安全性

Assured Open Source Software 是可用於保護軟體供應鏈的 Google Cloud 元件之一。您可以搭配使用 Assured Open Source Software 與其他 Google Cloud 產品和功能,提升開發人員工作流程和工具、軟體依附元件、用於建構及部署軟體的 CI/CD 系統,以及 Google Kubernetes Engine 和 Cloud Run 等執行階段環境的安全性。詳情請參閱「軟體供應鏈安全」。

後續步驟