Berintegrasi dengan Assured OSS untuk keamanan kode

Paket premium Assured Open Source Software (Assured OSS) memungkinkan Anda meningkatkan keamanan kode dengan menggunakan paket OSS yang digunakan Google untuk alur kerja developer-nya sendiri. Saat menggunakan Assured OSS, developer Anda dapat memanfaatkan keahlian dan pengalaman keamanan yang diterapkan Google untuk mengamankan dependensi open source-nya sendiri.

Saat mengintegrasikan Assured OSS dengan Security Command Center, Anda dapat melakukan hal berikut:

Pilih dari ribuan paket Java, Python, dan Go yang diseleksi dan paling populer, termasuk project machine learning dan kecerdasan buatan umum seperti TensorFlow, Pandas, dan Scikit-learn.
Konfigurasi proxy yang aman untuk mendownload semua paket Java, Python, Go, dan JavaScript dengan pengesahan dari Assured OSS, sehingga menjadikan Google sebagai pemasok yang dikenal dan tepercaya.
Gunakan SBOM dan VEX di Assured OSS yang disediakan dalam format standar industri seperti SPDX dan CycloneDX untuk mengetahui lebih banyak tentang bahan-bahan Anda.
Tingkatkan kepercayaan terhadap integritas paket yang Anda gunakan melalui provenance yang ditandatangani dan jelas dari Google.
Mengurangi risiko keamanan karena Google secara aktif memindai, menemukan, dan memperbaiki kerentanan baru dalam paket pilihan.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Security Command Center Enterprise

Pastikan paket Enterprise Security Command Center diaktifkan di tingkat organisasi.

Menyiapkan izin di tingkat organisasi

Anda harus menyiapkan izin di tingkat organisasi dan tingkat project.

Pastikan Anda memiliki peran berikut di organisasi: Admin Security Center, Admin Organisasi

Memeriksa peran

Di konsol Google Cloud , buka halaman IAM.
Buka IAM
Pilih organisasi.
Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.
Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

Di konsol Google Cloud , buka halaman IAM.
Buka IAM
Pilih organisasi.
Klik Grant access.
Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.
Klik Pilih peran, lalu telusuri peran.
Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
Klik Simpan.

Menyiapkan izin di level project

Pastikan Anda memiliki peran berikut di project: Admin Penggunaan Layanan, Admin Akun Layanan, Admin IAM Project

Memeriksa peran

Di konsol Google Cloud , buka halaman IAM.
Buka IAM
Pilih project.
Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.
Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

Di konsol Google Cloud , buka halaman IAM.
Buka IAM
Pilih project.
Klik Grant access.
Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.
Klik Pilih peran, lalu telusuri peran.
Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
Klik Simpan.

Menyiapkan Google Cloud CLI

Di konsol Google Cloud , aktifkan Cloud Shell.

Aktifkan Cloud Shell

Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

Menyiapkan Assured OSS

Konsol

Di konsol Google Cloud , buka Panduan penyiapan Security Command Center.

Buka Panduan penyiapan
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Security Command Center Enterprise.
Luaskan panel Tinjau ringkasan kemampuan keamanan.
Klik Code security > Siapkan.
Di panel Siapkan keamanan kode, klik Penyiapan AOSS.
Pilih akun layanan baru atau pilih akun layanan yang sudah ada yang ingin Anda tambahi izin Assured Open Source Software.
Pilih Google Cloud project tempat Anda ingin menempatkan resource OSS Tepercaya.
Klik Siapkan Assured OSS.

Proses penyiapan akan otomatis menyelesaikan langkah-langkah berikut:
- Jika dipilih, akan membuat akun layanan baru assuredoss@PROJECT_ID.gservicesaccount.com.
- Menetapkan peran Pengguna Assured OSS ke akun layanan yang ditentukan untuk digunakan dengan Assured OSS.
- Menetapkan peran Admin OSS Tepercaya ke akun pengguna yang login sehingga akun tersebut dapat mengonfigurasi layanan.
- Mengaktifkan Assured Open Source Software API dan, jika belum diaktifkan, Artifact Registry API.
- Menyiapkan layanan proxy Assured OSS di instance Artifact Registry dalam project yang Anda pilih. Repositori disediakan untuk setiap bahasa (Java, Python, Go, dan JavaScript). Repositori ini dapat otomatis menarik paket dari portofolio yang dikurasi. Jika paket tidak tersedia sebagai bagian dari portofolio pilihan, repositori akan mengalihkan permintaan ke repositori kanonis. Layanan proxy hanya mendukung wilayah AS. Untuk mengetahui informasi selengkapnya, lihat Opsi repositori OSS terjamin.
- Memberi Anda dan akun layanan izin untuk mengakses metadata dan notifikasi paket dari project milik Google.
Buat kunci akun layanan untuk setiap akun layanan Assured OSS yang ditetapkan dan download kunci dalam format JSON.

Catatan: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.
Di command line pada komputer lokal, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string yang dienkode base64:
```
base64 KEY_FILENAME.json
```
Ganti KEY_FILENAME.json dengan nama kunci akun layanan yang Anda download.

Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan Assured OSS untuk setiap bahasa. Catat endpoint ini untuk digunakan nanti.
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
- Go:
```
https://us-go.pkg.dev/PROJECT_ID/assuredoss-go
```
Ganti PROJECT_ID dengan ID project yang Anda pilih saat menyiapkan Assured OSS.
Klik Berikutnya. Konfigurasi Assured OSS dengan pengelola repositori artefak organisasi Anda seperti JFrog Artifactory atau Sonatype Nexus.

gcloud

Lakukan autentikasi ke Google Cloud dengan akun pengguna yang ingin Anda gunakan untuk mengaktifkan Assured OSS:
```
gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login
```
Telusuri project tempat Anda ingin menemukan resource OSS Tepercaya:
```
gcloud alpha projects search --query="displayName=PROJECT_NAME"
```
Ganti PROJECT_NAME dengan nama project.
Tetapkan project tempat Anda ingin menempatkan resource Assured OSS:
```
gcloud config set project PROJECT_ID
```
Ganti PROJECT_ID dengan ID project.

Berikan peran ke akun pengguna untuk menyiapkan Assured OSS:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/assuredoss.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/serviceusage.serviceUsageAdmin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/iam.serviceAccountAdmin

Dengan email@domain.com adalah alamat email untuk akun pengguna Anda.

Aktifkan Assured OSS di project. Mengaktifkan Assured OSS juga akan mengaktifkan Artifact Registry API.
```
gcloud services enable assuredoss.googleapis.com
```
Untuk membuat akun layanan baru untuk Assured OSS, bukan menggunakan akun layanan yang ada, selesaikan langkah-langkah berikut:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --description="Service account for using Assured OSS"
  --display-name="Assured OSS service account"
```
Ganti SERVICE_ACCOUNT_NAME dengan nama akun layanan (misalnya, assuredoss).

Mengonfigurasi akun layanan untuk Assured OSS:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --role roles/assuredoss.user

Ganti kode berikut:

SERVICE_ACCOUNT_NAME: nama akun layanan (misalnya, assuredoss).
PROJECT_ID: ID project.

Untuk mengakses repositori metadata keamanan setelah menyiapkan Assured OSS premium menggunakan gcloud, kirim email ke customer-support-aoss@google.com dengan akun layanan yang Anda aktifkan untuk Assured OSS.

Siapkan layanan proxy Assured OSS di instance Artifact Registry dengan membuat repositori Assured OSS. Anda harus membuat repositori untuk semua bahasa. Layanan proxy Assured OSS yang menyediakan repositori hanya mendukung region AS.

alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java   -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript   -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python   -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-go   -d '{"format": "GO", "mode": "AOSS_REPOSITORY"}'

Ganti PROJECT_ID dengan ID project yang Anda pilih saat menyiapkan Assured OSS.

Repositori ini dapat otomatis menarik paket dari portofolio yang dikurasi. Jika paket tidak tersedia sebagai bagian dari portofolio pilihan, repositori akan mengalihkan permintaan ke repositori kanonis.

Buat kunci akun layanan untuk setiap akun layanan Assured OSS dan download kunci tersebut dalam format JSON.

Catatan: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.
Di command line, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string yang dienkode base64:
```
base64 KEY_FILENAME.json
```
Ganti KEY_FILENAME.json dengan nama kunci akun layanan yang Anda download.

Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan oleh Assured OSS untuk setiap bahasa. Catat endpoint berikut:
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
- Go:
```
https://us-go.pkg.dev/PROJECT_ID/assuredoss-go
```
Ganti PROJECT_ID dengan ID project yang Anda pilih saat menyiapkan Assured OSS.
Konfigurasi Assured OSS untuk mendownload paket dengan pengelola repositori artefak organisasi Anda seperti JFrog Artifactory atau Sonatype Nexus.

Atau, lihat paket Java, Python, Go, dan JavaScript yang tersedia:

gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login --cred-file=KEY_FILENAME.json

Ganti KEY_FILENAME.json dengan nama kunci akun layanan yang Anda download.

export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json

Ganti KEY_FILENAME.json dengan nama kunci akun layanan yang Anda download.

gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages"
gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages"
gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"
gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-go/packages"

Ganti PROJECT_ID dengan ID project yang Anda pilih saat menyiapkan Assured OSS.

Berintegrasi dengan Assured OSS untuk keamanan kode Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Mengaktifkan paket Security Command Center Enterprise

Menyiapkan izin di tingkat organisasi

Memeriksa peran

Memberikan peran

Menyiapkan izin di level project

Memeriksa peran

Memberikan peran

Menyiapkan Google Cloud CLI

Menyiapkan Assured OSS

Konsol

gcloud

Langkah berikutnya

Berintegrasi dengan Assured OSS untuk keamanan kode