有保障的开源软件概览

借助 Assured Open Source Software (Assured OSS),您可以将 Google 保护和使用的相同 OSS 软件包纳入您自己的开发者工作流中,从而充分利用 Google 应用于开源软件 (OSS) 的安全性和经验。

借助 Assured OSS,您可以执行以下操作:

  • 从可信且已知的供应商处获取 OSS 软件包。
  • 使用以 SPDX 等业界标准格式提供的 Assured SBOMs 详细了解软件包内容。
  • 使用 VEX 信息了解软件包的威胁和安全性,采用 CycloneDX 等行业标准格式。
  • 由于 Google 会主动扫描、查找和修复精选软件包中的新漏洞,因此可降低安全风险。
  • 通过 签名且防篡改的 provenance,提高对所用 OSS 完整性的信心。
  • 从 1000 多个最受欢迎的 Java、Go 和 Python 软件包中进行选择,包括 TensorFlow、Pandas 和 Scikit-learn 等常见的机器学习和人工智能项目。

开源软件包由 Google 以安全的方式构建。这些软件包 符合 软件制品的供应链等级 (SLSA) 3 级 要求,并且具有可验证的 出处和 SBOM。

Assured OSS 层级

Assured OSS 有免费层级和高级层级。购买 Security Command Center 高级方案或 Security Command Center 企业方案后,即可使用高级层级。

免费层级包括以下内容:

  • 精选代码库中的 Python、Go 和 Java 开源软件包。
  • 手动设置步骤。
  • 在 Google 管理的项目中创建的精选代码库。
  • 开源软件包的通用代理端点。借助此代理,您可以从一个来源下载开源软件包及其元数据,无论软件包是否由 Google 构建。
  • 支持 Amazon Web Service (AWS) 账号访问。

借助高级层级,您可以将 Assured OSS 与 Security Command Center 高级方案或 Security Command Center 企业方案集成。它包括以下内容:

  • 精选代码库中的 Python、Go 和 Java 开源软件包。
  • 规范代码库中的 JavaScript 开源软件包。
  • 在 Security Command Center 高级方案或 Security Command Center Enterprise 的组织级激活过程中自动设置。
  • 在您指定的项目中创建的精选代码库。
  • 由 Google 收集和签名的通用软件包元数据。此元数据提供有关软件包构建、任何漏洞和软件包健康状况的信息。软件包健康状况信息仅适用于由 Google 构建的软件包。

如需详细了解 Security Command Center 订阅价格,请参阅 Security Command Center 价格

Assured OSS 代码库选项

Assured OSS 软件包存储在 Google 管理的 Artifact Registry 代码库中。您可以使用以下方法之一访问和下载 Assured OSS 提供的开源软件包:

  • 在您的环境中设置远程(也称为“镜像”或“代理”)代码库,以充当 Google 管理的 Artifact Registry 代码库的代理。您的开发者可以连接到远程代码库以下载软件包。如果您使用的是 Jfrog Artifactory 或 Sonatype Nexus 等代码库管理器,请使用此方法。

  • 使用服务帐号直接连接到 Artifact Registry 代码库。如果开发者使用的是 Maven、Gradle、Go 或 pip 等构建工具,请使用此方法。

  • 使用虚拟上游代码库,该代码库充当开发者的单一访问点,以便他们可以下载、安装或部署软件包。
    在高级层级中,系统会自动创建两个虚拟代码库:一个用于 Java 软件包,另一个用于 Python 软件包。在免费层级中,您必须自行配置虚拟代码库。您可以将 Artifact Registry 标准代码库或 Artifact Registry 远程代码库用作上游虚拟代码库。您还可以使用 Assured OSS 类型代码库,它是对虚拟代码库的封装,可以访问免费层级和高级层级软件包。Assured OSS 类型代码库执行服务器端检查。

下图显示了连接到远程代码库的 Assured OSS。

连接到远程代码库。

软件供应链安全

Assured Open Source Software 是您可以用来保护软件供应链的 Google Cloud 组件之一。您可以将 Assured Open Source Software 与其他 Google Cloud 产品和 功能结合使用,以改善开发者工作流和工具、 软件依赖项、用于构建和部署软件的 CI/CD 系统、 以及 Google Kubernetes Engine 和 Cloud Run 等运行时环境的安全状况。如需了解 详情,请参阅 软件供应链安全

后续步骤