Assured Open Source Software (Assured OSS) publica dos tipos de notificaciones:
Disponibilidad de paquetes: Estas notificaciones contienen información sobre los paquetes y las versiones de paquetes nuevos que se agregan a Assured OSS, y actualizaciones sobre el estado de incorporación de paquetes.
Notificaciones de vulnerabilidades: Estas notificaciones contienen información sobre las vulnerabilidades nuevas detectadas en los paquetes seleccionados por Assured OSS o actualizaciones de vulnerabilidades existentes.
Las notificaciones programáticas sobre las actualizaciones de los metadatos de seguridad y los paquetes nuevos se publican en los temas de Pub/Sub. Estas notificaciones están disponibles en formato JSON. Puedes crear una suscripción de extracción o una suscripción de envío al tema de OSS asegurado para recibir notificaciones.
Para crear estas suscripciones, usa las mismas credenciales de la cuenta de servicio o de la identidad para cargas de trabajo que usas para acceder a los artefactos o los metadatos. Cuando se habilita tu acceso a Assured OSS, se les otorga permiso a las cuentas de servicio para crear suscripciones en estos temas.
En las siguientes secciones, se describen los temas de Pub/Sub.
Este documento se aplica tanto al nivel Premium como al nivel gratuito.
Antes de comenzar
En el nivel premium de Assured OSS, si habilitaste los Controles del servicio de VPC, configura la regla de salida.
Tema de incorporación de paquetes
- Nombre del tema:
projects/cloud-aoss/topics/package_onboarding - Mensaje: En este tema, se incluye información sobre las nuevas versiones de paquetes que se agregan a Assured OSS y actualizaciones sobre su estado de incorporación.
Esquema de datos de mensajes:
{ "package_name" string "package_version" string "language" string "onboarding_status" string "notification_status" string }Atributos de datos del mensaje:
"PackageName" string "PackageVersion" string "PackageLanguage" string "SchemaVersion" string "GenerateTime" string
Tema de información sobre vulnerabilidades
- Nombre del tema:
projects/cloud-aoss/topics/vulnerability_information - Mensaje: Este tema contiene información sobre las nuevas vulnerabilidades detectadas en el sistema o si se actualizan los metadatos de alguna vulnerabilidad.
Esquema de datos de mensajes:
{ "vulnerabilityId" string "notificationStatus" string }Atributos de datos del mensaje:
"PackageName" string "PackageVersion" string "PackageLanguage" string "SchemaVersion" string "GenerateTime" string
Tema sobre la incorporación de paquetes consolidados y la información de vulnerabilidades para el nivel Premium
Puedes acceder a todas las notificaciones de Assured OSS desde el siguiente tema de Pub/Sub:
projects/assuredoss-blue/topics/assuredoss-notifications
Atributos de notificación
Los siguientes atributos de notificación forman parte del mensaje de Pub/Sub publicado. Puedes usar estos atributos para filtrar el mensaje.
{
"Type": "string", // Indicates the type of notification, can be 'PackageVersion' or 'Vulnerability'
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"SchemaVersion": int, // Schema version of the data in message
"GenerateTime": "string" // Time at which the event occurred
}
El atributo GenerateTime está en formato RFC 3339.
Notificaciones relacionadas con paquetes
Cuando el atributo Type es PackageVersion, los datos del mensaje tienen los siguientes campos:
{
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"NotificationStatus": "string" // Status of package-version,'New' indicates available to download from Assured OSS
}
Notificaciones relacionadas con vulnerabilidades
Cuando el atributo Type es Vulnerability, los datos del mensaje tienen los siguientes campos:
{
"ID": "string", // Vulnerability ID affecting the package
"Severity": "string", // Severity of the vulnerability
"Sources": [
{
"Name": "string", // Source of vulnerability information
"Link": "string" // URL of vulnerability details
}
],
"Summary": "string", // Summary of vulnerability
"Description": "string", // Detailed description of vulnerability
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"NotificationStatus": "string" // Status of package-version
}
El valor del campo NotificationStatus indica el estado de la vulnerabilidad. Si la vulnerabilidad es nueva para un paquete, el valor es New. Si hay una actualización de una vulnerabilidad existente, el valor es Update.
Crea una suscripción de extracción
Para crear una suscripción de extracción, completa los siguientes pasos:
Crea una suscripción de extracción. Puedes usar la consola deGoogle Cloud , Google Cloud CLI o la API de Pub/Sub.
Después de crear la suscripción de extracción, comienza a sondear mensajes con las bibliotecas cliente o la CLI de Google Cloud.
Crea una suscripción de envío
Para crear una suscripción push, configura un servidor HTTPS con un certificado que no esté autofirmado y que sea accesible en Internet. Usa el modelo de suscripción push de una de las siguientes maneras:
Si tienes un proyecto Google Cloud y una cuenta de servicio (por ejemplo, si integraste Assured OSS con Security Command Center), haz lo siguiente:
Dado que Assured OSS proporciona permiso para crear suscripciones, puedes crear tus propias suscripciones de envío y asociarlas con el extremo que elijas. Para obtener más información, consulta Suscripciones de envío.
Si usas el nivel gratuito y no tienes un proyecto ni una cuenta de servicio de Google Cloud , ingresa el extremo HTTPS en el formulario Habilitar acceso o actualizar preferencias de notificación. El equipo de Assured OSS creará una suscripción de envío y adjuntará el extremo con esa suscripción.
¿Qué sigue?
- Descripción general de la firma de artefactos
- Verificar firmas
- Verifica la procedencia de la compilación
- Más información para proteger tu cadena de suministro de software