Assured Open Source Software (Assured OSS) ti consente di sfruttare la sicurezza e l'esperienza che Google applica al software open source (OSS) incorporando gli stessi pacchetti OSS che Google protegge e utilizza nei tuoi workflow per sviluppatori.
Assured OSS ti consente di:
- Richiedi i pacchetti OSS da un fornitore noto e affidabile.
- Scopri di più sui contenuti dei pacchetti con gli SBOM di Assured forniti nei formati standard del settore come SPDX.
- Scopri di più sulle minacce e sulla sicurezza di un pacchetto con le informazioni VEX in un formato standard del settore come CycloneDX.
- Ridurre il rischio per la sicurezza poiché Google esegue attivamente la scansione, la ricerca e la correzione di nuove vulnerabilità nei pacchetti curati.
- Aumenta la sicurezza dell'integrità dell'OSS che utilizzi tramite una provenance firmata a prova di manomissione.
- Scegli tra più di mille pacchetti Java, Go e Python più popolari, tra cui progetti comuni di machine learning e intelligenza artificiale come TensorFlow, Pandas e Scikit-learn.
I pacchetti open source sono creati da Google in modo sicuro. Questi pacchetti soddisfano i requisiti di Supply-chain Levels for Software Artifacts (SLSA) livello 3 e hanno una provenienza e una SBOM verificabili.
Livelli di Assured OSS
Assured OSS ha un livello senza costi e un livello Premium. Il livello Premium è disponibile quando acquisti Security Command Center Enterprise.
Il livello senza costi include:
- Pacchetti open source Python, Go e Java in repository curati.
- Procedura di configurazione manuale.
- Repository curati creati in un progetto gestito da Google.
- Endpoint proxy universali per i pacchetti open source. Questo proxy ti consente di scaricare pacchetti open source e i relativi metadati da un'unica origine, indipendentemente dal fatto che i pacchetti siano stati creati da Google o meno.
- Supporto per l'accesso all'account Amazon Web Service (AWS).
Il livello Premium ti consente di integrare Assured OSS con Security Command Center Enterprise. Include quanto segue:
- Pacchetti open source Python, Go e Java in repository curati.
- Pacchetti open source JavaScript in un repository canonico.
- Configurazione automatica nell'ambito del processo di attivazione di Security Command Center Enterprise.
- Repository curati creati in un progetto specificato.
- Metadati universali del pacchetto raccolti e firmati da Google. Questi metadati forniscono informazioni sulla build del pacchetto, su eventuali vulnerabilità e sullo stato del pacchetto. Le informazioni sullo stato del pacchetto sono disponibili solo per i pacchetti creati da Google.
Per ulteriori informazioni sui prezzi di Security Command Center Enterprise, consulta Prezzi per il livello Enterprise.
Opzioni del repository Assured OSS
I pacchetti Assured OSS sono archiviati in un repository Artifact Registry gestito da Google. Puoi accedere e scaricare i pacchetti open source offerti da Assured OSS utilizzando uno dei seguenti metodi:
Configura un repository remoto (chiamato anche mirror o proxy) nel tuo ambiente che funga da proxy per il repository Artifact Registry gestito da Google. Gli sviluppatori possono connettersi al repository remoto per scaricare i pacchetti. Utilizza questo metodo se utilizzi un gestore di repository come Jfrog Artifactory o Sonatype Nexus.
Connettiti direttamente al repository Artifact Registry utilizzando un account di servizio. Utilizza questo metodo se gli sviluppatori utilizzano strumenti di sviluppo come Maven, Gradle, Go o pip.
Utilizza un repository upstream virtuale che funge da unico punto di accesso per gli sviluppatori, in modo che possano scaricare, installare o eseguire il deployment dei pacchetti.
Nel livello Premium, vengono creati automaticamente due repository virtuali: uno per i pacchetti Java e uno per i pacchetti Python. Nel livello senza costi, devi configurare manualmente un repository virtuale. Puoi utilizzare un repository standard di Artifact Registry o un repository remoto di Artifact Registry come repository virtuale upstream. Puoi anche utilizzare un repository di tipo Assured OSS, ovvero un wrapper su un repository virtuale che ha accesso ai pacchetti dei livelli senza costi e Premium. Il repository di tipo Assured OSS esegue controlli lato server.
Il seguente diagramma mostra Assured OSS connesso a un repository remoto.
Sicurezza della catena di fornitura del software
Assured Open Source Software è uno dei Google Cloud componenti che puoi utilizzare per proteggere la catena di fornitura del software. Puoi utilizzare Assured Open Source Software insieme ad altri Google Cloud prodotti e funzionalità per migliorare il livello di sicurezza di strumenti e flussi di lavoro per sviluppatori, dipendenze software, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Per scoprire di più, consulta l'articolo Sicurezza della catena di fornitura del software.
Passaggi successivi
- Per utilizzare il Livello senza costi, vedi Attivare Assured OSS.
- Per l'integrazione con Security Command Center Enterprise, vedi Integrare con Assured OSS per la sicurezza del codice.