Berlangganan notifikasi

Assured Open Source Software (Assured OSS) memublikasikan dua jenis notifikasi:

• Ketersediaan paket: Notifikasi ini berisi informasi tentang paket dan versi paket baru yang ditambahkan ke Assured OSS dan update terkait status aktivasi paket.

• Notifikasi kerentanan: Notifikasi ini berisi informasi tentang kerentanan baru yang terdeteksi dalam paket yang dikurasi oleh Assured OSS atau update pada kerentanan yang ada.

Notifikasi terprogram tentang pembaruan pada metadata keamanan dan paket baru dipublikasikan di topik Pub/Sub. Notifikasi ini tersedia dalam format JSON. Anda dapat membuat langganan tarik atau langganan push ke topik Assured OSS untuk menerima notifikasi.

Untuk membuat langganan ini, gunakan kredensial akun layanan atau identitas beban kerja yang sama dengan yang Anda gunakan untuk mengakses artefak atau metadata. Saat akses Anda ke Assured OSS diaktifkan, akun layanan diberi izin untuk membuat langganan di topik ini.

Bagian berikut menjelaskan topik Pub/Sub.

Dokumen ini berlaku untuk tingkat premium dan tingkat gratis.

Sebelum memulai

Untuk tingkat premium Assured OSS, jika Anda mengaktifkan Kontrol Layanan VPC, konfigurasi aturan egress.

Topik orientasi paket

• Nama Topik: projects/cloud-aoss/topics/package_onboarding
• Pesan: topik ini berisi informasi tentang versi paket baru yang ditambahkan ke Assured OSS dan update terkait status aktivasi.

• Skema Data Pesan:

  {
  "package_name" string
  "package_version" string
  "language" string
  "onboarding_status" string
  "notification_status" string
  }
  

• Atribut Data Pesan:

  "PackageName"     string
  "PackageVersion"  string
  "PackageLanguage" string
  "SchemaVersion"   string
  "GenerateTime"    string
  

Topik informasi kerentanan

• Nama Topik: projects/cloud-aoss/topics/vulnerability_information
• Pesan: topik ini berisi informasi tentang kerentanan baru yang terdeteksi dalam sistem atau jika metadata kerentanan apa pun diperbarui.

• Skema Data Pesan:

  {
  "vulnerabilityId" string
  "notificationStatus" string
  }
  

• Atribut Data Pesan:

  "PackageName"     string
  "PackageVersion"  string
  "PackageLanguage" string
  "SchemaVersion"   string
  "GenerateTime"    string
  

Topik informasi kerentanan dan aktivasi paket gabungan untuk paket premium

Anda dapat mengakses semua notifikasi Assured OSS dari topik Pub/Sub berikut:

projects/assuredoss-blue/topics/assuredoss-notifications

Atribut notifikasi

Atribut notifikasi berikut merupakan bagian dari pesan Pub/Sub yang dipublikasikan. Anda dapat menggunakan atribut ini untuk memfilter pesan.

{
  "Type": "string",             // Indicates the type of notification, can be 'PackageVersion' or 'Vulnerability'
  "PackageName": "string",      // Package ID
  "PackageVersion": "string",   // Version of the package
  "Language": "string",         // Language of the package
  "SchemaVersion": int,         // Schema version of the data in message
  "GenerateTime": "string"      // Time at which the event occurred
}

Atribut GenerateTime dalam format RFC 3339.

Notifikasi terkait paket

Jika atribut Type adalah PackageVersion, maka data pesan memiliki kolom berikut:

{
  "PackageName": "string",       // Package ID
  "PackageVersion": "string",    // Version of the package
  "Language": "string",          // Language of the package
  "NotificationStatus": "string" // Status of package-version,'New' indicates available to download from Assured OSS
}

Notifikasi terkait kerentanan

Jika atribut Type adalah Vulnerability, maka data pesan memiliki kolom berikut:

{
  "ID": "string",            // Vulnerability ID affecting the package
  "Severity": "string",      // Severity of the vulnerability
  "Sources": [
    {
      "Name": "string",      // Source of vulnerability information
      "Link": "string"       // URL of vulnerability details
    }
  ],
  "Summary": "string",       // Summary of vulnerability
  "Description": "string",   // Detailed description of vulnerability
  "PackageName": "string",       // Package ID
  "PackageVersion": "string",    // Version of the package
  "Language": "string",          // Language of the package
  "NotificationStatus": "string" // Status of package-version
}

Nilai kolom NotificationStatus menunjukkan status kerentanan. Jika kerentanan baru untuk paket, nilainya adalah New. Jika ada update pada kerentanan yang ada, nilainya adalah Update.

Membuat langganan pull

Untuk membuat langganan pull, selesaikan langkah-langkah berikut:

1. Buat langganan pull. Anda dapat menggunakan konsolGoogle Cloud , Google Cloud CLI, atau Pub/Sub API.

2. Setelah membuat langganan pull, mulai polling untuk pesan menggunakan library klien atau Google Cloud CLI.

Membuat langganan push

Untuk membuat langganan push, siapkan server HTTPS dengan sertifikat yang bukan ditandatangani sendiri dan dapat diakses di internet. Gunakan model langganan push dengan salah satu cara berikut:

• Jika Anda memiliki project dan akun layanan (misalnya, Anda mengintegrasikan Assured OSS dengan Security Command Center): Google Cloud

  Karena Assured OSS memberikan izin untuk membuat langganan, Anda dapat membuat langganan push Anda sendiri dan mengaitkannya dengan endpoint pilihan Anda. Untuk mengetahui informasi selengkapnya, lihat Langganan push.

• Jika Anda menggunakan paket gratis dan tidak memiliki Google Cloud project dan akun layanan, masukkan endpoint HTTPS di formulir Aktifkan Akses atau Perbarui Preferensi Notifikasi. Tim Assured OSS akan membuat langganan push dan melampirkan endpoint dengan langganan tersebut.

Langkah berikutnya

• Ringkasan tanda tangan artefak
• Verifikasi tanda tangan
• Memverifikasi provenance build
• Mempelajari cara melindungi supply chain software Anda