סקירה כללית של תוכנת Assured בקוד פתוח

‫Assured Open Source Software (תוכנה מאומתת בקוד פתוח, Assured OSS) מאפשרת לכם ליהנות מהאבטחה ומהניסיון ש-Google מספקת לתוכנה בקוד פתוח (OSS) על ידי שילוב אותם חבילות OSS ש-Google מאבטחת ומשתמשת בהן בתהליכי העבודה של המפתחים שלכם.

בעזרת Assured OSS אפשר:

  • קבלת חבילות OSS מספק מהימן ומוכר.
  • מידע נוסף על תוכן החבילה עם SBOMs מאומתים שמופיעים בפורמטים סטנדרטיים בתעשייה כמו SPDX.
  • מידע על איומים ואבטחה של חבילה עם מידע VEX בפורמט תואם לתקנים בתחום, כמו CycloneDX.
  • הפחתת הסיכון לאבטחה כי Google סורקת באופן פעיל חבילות שנאספו, מוצאת נקודות חולשה חדשות ומתקנת אותן.
  • כדי להגביר את הביטחון בשלמות של ה-OSS שבו אתם משתמשים, אתם יכולים להשתמש בprovenance חתום שמוכיח את השלמות של ה-OSS.
  • אפשר לבחור מתוך יותר מאלף חבילות פופולריות של Java,‏ Go ו-Python, כולל פרויקטים נפוצים של למידת מכונה ובינה מלאכותית כמו TensorFlow,‏ Pandas ו-Scikit-learn.

החבילות בקוד פתוח נבנות על ידי Google באופן מאובטח. החבילות האלה עומדות בדרישות של Supply-chain Levels for Software Artifacts‏ (SLSA) ברמה 3, ויש להן מקור ו-SBOM שניתן לאימות.

רמות השירות של Assured OSS

ל-Assured OSS יש תוכנית בחינם ותוכנית Premium. מסלול Premium זמין כשרוכשים את Security Command Center Premium או את Security Command Center Enterprise.

התוכנית בחינם כוללת את האפשרויות הבאות:

  • חבילות קוד פתוח של Python,‏ Go ו-Java במאגרים שנבחרו בקפידה.
  • שלבי הגדרה ידנית.
  • מאגרי מידע שנאספו במיוחד ונוצרו בפרויקט בניהול Google.
  • נקודות קצה של פרוקסי אוניברסלי לחבילות קוד פתוח. הפרוקסי הזה מאפשר לכם להוריד חבילות קוד פתוח ואת המטא-נתונים שלהן ממקור אחד, בלי קשר לשאלה אם החבילות נוצרו על ידי Google או לא.
  • תמיכה בגישה לחשבון Amazon Web Service‏ (AWS).

במסלול Premium אפשר לשלב את Assured OSS עם Security Command Center Premium או עם Security Command Center Enterprise. היא כוללת את:

  • חבילות קוד פתוח של Python,‏ Go ו-Java במאגרים שנבחרו בקפידה.
  • חבילות קוד פתוח של JavaScript במאגר קנוני.
  • הגדרה אוטומטית כחלק מתהליך ההפעלה ברמת הארגון של Security Command Center Premium או Security Command Center Enterprise.
  • מאגרי מידע שנאספו בקפידה ונוצרו בפרויקט שאתם מציינים.
  • מטא-נתונים אוניברסליים של חבילות שנאספים ונחתמים על ידי Google. הנתונים האלה כוללים מידע על בניית החבילה, על נקודות חולשה ועל תקינות החבילה. מידע על תקינות החבילה זמין רק לחבילות שנוצרו על ידי Google.

מידע נוסף על תמחור המינוי ל-Security Command Center זמין במאמר בנושא תמחור של Security Command Center.

אפשרויות של מאגרי Assured OSS

חבילות Assured OSS מאוחסנות במאגר Artifact Registry שמנוהל על ידי Google. אפשר לגשת לחבילות הקוד הפתוח שמוצעות על ידי Assured OSS ולהוריד אותן באחת מהשיטות הבאות:

  • מגדירים מאגר מרוחק (נקרא גם מאגר שיקוף או מאגר פרוקסי) בסביבה שלכם שישמש כפרוקסי למאגר Artifact Registry שמנוהל על ידי Google. המפתחים יכולים להתחבר למאגר המרוחק כדי להוריד את החבילות. משתמשים בשיטה הזו אם אתם משתמשים במנהל מאגרים כמו Jfrog Artifactory או Sonatype Nexus.

  • מתחברים ישירות למאגר Artifact Registry באמצעות חשבון שירות. משתמשים בשיטה הזו אם המפתחים משתמשים בכלי בנייה כמו Maven,‏ Gradle,‏ Go או pip.

  • משתמשים במאגר וירטואלי במעלה הזרם שמשמש כנקודת גישה יחידה למפתחים, כדי שהם יוכלו להוריד, להתקין או לפרוס חבילות.
    ברמת Premium, שני מאגרים וירטואליים נוצרים באופן אוטומטי: אחד לחבילות Java ואחד לחבילות Python. בתוכנית החינמית, צריך להגדיר מאגר וירטואלי באופן עצמאי. אתם יכולים להשתמש במאגר רגיל של Artifact Registry או במאגר מרוחק של Artifact Registry כמאגר וירטואלי במעלה הזרם. אפשר גם להשתמש במאגר מסוג Assured OSS, שהוא עטיפה של מאגר וירטואלי שיש לו גישה לחבילות במסלול החינמי ובמסלול פרימיום. מאגר מסוג Assured OSS מבצע בדיקות בצד השרת.

בתרשים הבא מוצג Assured OSS שמחובר למאגר מרוחק.

מתבצעת התחברות למאגר מרוחק.

אבטחת שרשרת האספקה של תוכנות

Assured Open Source Software היא אחד Google Cloud המרכיבים שבהם אפשר להשתמש כדי להגן על שרשרת האספקה של תוכנות. אתם יכולים להשתמש ב-Assured Open Source Software יחד עם מוצרים ותכונות אחרים של Google Cloud Google כדי לשפר את רמת האבטחה של כלי הפיתוח, של תהליכי העבודה של המפתחים, של יחסי התלות של התוכנה, של מערכות CI/CD שמשמשות לבנייה ולפריסה של התוכנה ושל סביבות זמן ריצה כמו Google Kubernetes Engine ו-Cloud Run. מידע נוסף זמין במאמר בנושא אבטחת שרשרת האספקה של תוכנות.

המאמרים הבאים