Für Assured Open Source Software (Assured OSS) werden zwei Arten von Benachrichtigungen veröffentlicht:
Paketverfügbarkeit:Diese Benachrichtigungen enthalten Informationen zu neuen Paketen und Paketversionen, die Assured OSS hinzugefügt werden, sowie Updates zum Onboarding-Status von Paketen.
Benachrichtigungen zu Sicherheitslücken:Diese Benachrichtigungen enthalten Informationen zu neuen Sicherheitslücken, die in den von Assured OSS kuratierten Paketen erkannt wurden, oder zu Aktualisierungen bestehender Sicherheitslücken.
Programmatische Benachrichtigungen zu Aktualisierungen von Sicherheitsmetadaten und neuen Paketen werden in Pub/Sub-Themen veröffentlicht. Diese Benachrichtigungen sind im JSON-Format verfügbar. Sie können ein Pull- oder Push-Abo für das Thema „Assured OSS“ erstellen, um Benachrichtigungen zu erhalten.
Verwenden Sie zum Erstellen dieser Abos dasselbe Dienstkonto oder dieselben Anmeldedaten für die Workload-Identität, mit denen Sie auf Artefakte oder Metadaten zugreifen. Wenn Ihr Zugriff auf Assured OSS aktiviert ist, erhalten die Dienstkonten die Berechtigung, Abos für diese Themen zu erstellen.
In den folgenden Abschnitten werden die Pub/Sub-Themen beschrieben.
Dieses Dokument gilt sowohl für die Premium- als auch für die kostenlose Stufe.
Hinweise
Wenn Sie VPC Service Controls für die Premium-Version von Assured OSS aktiviert haben, konfigurieren Sie die Regel für ausgehenden Traffic.
Thema „Paket-Onboarding“
- Name des Themas:
projects/cloud-aoss/topics/package_onboarding - Mitteilung:Dieses Thema enthält Informationen zu neuen Paketversionen, die Assured OSS hinzugefügt werden, und Updates zum Onboarding-Status.
Schema für Nachrichtendaten:
{ "package_name" string "package_version" string "language" string "onboarding_status" string "notification_status" string }Attribute für Nachrichtendaten:
"PackageName" string "PackageVersion" string "PackageLanguage" string "SchemaVersion" string "GenerateTime" string
Thema für Informationen zu Sicherheitslücken
- Name des Themas:
projects/cloud-aoss/topics/vulnerability_information - Meldung:In diesem Thema finden Sie Informationen zu neuen Sicherheitslücken, die im System erkannt wurden, oder wenn die Metadaten einer Sicherheitslücke aktualisiert werden.
Schema für Nachrichtendaten:
{ "vulnerabilityId" string "notificationStatus" string }Attribute für Nachrichtendaten:
"PackageName" string "PackageVersion" string "PackageLanguage" string "SchemaVersion" string "GenerateTime" string
Zusammenfassung von Informationen zu Paket-Onboarding und Sicherheitslücken für die Premiumstufe
Sie können über das folgende Pub/Sub-Thema auf alle Assured OSS-Benachrichtigungen zugreifen:
projects/assuredoss-blue/topics/assuredoss-notifications
Benachrichtigungsattribute
Die folgenden Benachrichtigungsattributen sind Teil der veröffentlichten Pub/Sub-Nachricht. Sie können diese Attribute verwenden, um die Nachricht zu filtern.
{
"Type": "string", // Indicates the type of notification, can be 'PackageVersion' or 'Vulnerability'
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"SchemaVersion": int, // Schema version of the data in message
"GenerateTime": "string" // Time at which the event occurred
}
Das Attribut GenerateTime hat das RFC 3339-Format.
Benachrichtigungen zu Paketen
Wenn das Attribut Type den Wert PackageVersion hat, enthält die Nachricht die folgenden Felder:
{
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"NotificationStatus": "string" // Status of package-version,'New' indicates available to download from Assured OSS
}
Benachrichtigungen zu Sicherheitslücken
Wenn das Attribut Type den Wert Vulnerability hat, enthält die Nachricht die folgenden Felder:
{
"ID": "string", // Vulnerability ID affecting the package
"Severity": "string", // Severity of the vulnerability
"Sources": [
{
"Name": "string", // Source of vulnerability information
"Link": "string" // URL of vulnerability details
}
],
"Summary": "string", // Summary of vulnerability
"Description": "string", // Detailed description of vulnerability
"PackageName": "string", // Package ID
"PackageVersion": "string", // Version of the package
"Language": "string", // Language of the package
"NotificationStatus": "string" // Status of package-version
}
Der Wert des Felds NotificationStatus gibt den Status der Sicherheitslücke an. Wenn die Sicherheitslücke für ein Paket neu ist, ist der Wert New. Wenn eine vorhandene Sicherheitslücke aktualisiert wird, ist der Wert Update.
Pull-Abo erstellen
So erstellen Sie ein Pull-Abo:
Erstellen Sie ein Pull-Abo. Sie können dieGoogle Cloud -Konsole, die Google Cloud CLI oder die Pub/Sub API verwenden.
Nachdem Sie das Pull-Abo erstellt haben, können Sie mit dem Abrufen von Nachrichten beginnen. Verwenden Sie dazu die Clientbibliotheken oder die Google Cloud CLI.
Push-Abo erstellen
Wenn Sie ein Push-Abo erstellen möchten, müssen Sie einen HTTPS-Server mit einem Zertifikat einrichten, das nicht selbst signiert ist und auf das über das Internet zugegriffen werden kann. Sie haben folgende Möglichkeiten, das Push-Abo-Modell zu verwenden:
Wenn Sie ein Google Cloud Projekt und ein Dienstkonto haben (z. B. wenn Sie Assured OSS in Security Command Center integriert haben):
Da Assured OSS die Berechtigung zum Erstellen von Abos bietet, können Sie eigene Push-Abos erstellen und sie dem Endpunkt Ihrer Wahl zuordnen. Weitere Informationen finden Sie unter Push-Abos.
Wenn Sie das kostenlose Kontingent nutzen und kein Google Cloud Projekt und kein Dienstkonto haben, geben Sie den HTTPS-Endpunkt in das Formular zum Aktivieren des Zugriffs oder zum Aktualisieren der Benachrichtigungseinstellungen ein. Das Assured OSS-Team erstellt ein Push-Abo und hängt den Endpunkt an dieses Abo an.
Nächste Schritte
- Übersicht über Artifact-Signaturen
- Signaturen überprüfen
- Build-Herkunft prüfen
- Informationen zum Schutz Ihrer Softwarelieferkette