Integrar com o Assured OSS para segurança do código

Com o nível premium do Assured Open Source Software (Assured OSS), você aumenta a segurança do seu código usando os pacotes de OSS que o Google usa nos próprios fluxos de trabalho de desenvolvedores. Ao usar o Assured OSS, seus desenvolvedores podem aproveitar a experiência e a especialização em segurança que o Google aplica para proteger as próprias dependências de código aberto.

Ao integrar o Assured OSS ao Security Command Center, é possível fazer o seguinte:

Escolha entre milhares de pacotes selecionados e mais usados de Java, Python e Go, incluindo projetos comuns de aprendizado de máquina e inteligência artificial, como TensorFlow, Pandas e Scikit-learn.
Configure um proxy seguro para baixar todos os pacotes Java, Python, Go e JavaScript com declarações do Assured OSS, tornando o Google um fornecedor conhecido e confiável.
Use as listas de materiais de software (SBOMs) e as declarações de vulnerabilidade de software (VEX) no Assured OSS, que são fornecidas em formatos padrão do setor, como SPDX e CycloneDX, para saber mais sobre seus ingredientes.
Aumente a confiança na integridade dos pacotes que você está usando com procedência comprovada e adulterada do Google.
Reduza o risco de segurança, já que o Google está ativamente verificando, encontrando e corrigindo novas vulnerabilidades em pacotes selecionados.

Antes de começar

Conclua essas tarefas antes de concluir as restantes nesta página.

Ativar o nível Enterprise do Security Command Center

Verifique se o nível Enterprise do Security Command Center está ativado no nível da organização.

Configurar permissões no nível da organização

Você precisa configurar permissões nos níveis da organização e do projeto.

Verifique se você tem os seguintes papéis na organização: Administrador do Security Center, administrador da organização
Verificar os papéis
1. No console do Google Cloud , acesse a página IAM.
  Acessar IAM
2. Selecione a organização.
3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.
4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.
Conceder os papéis
1. No console do Google Cloud , acesse a página IAM.
  Acessar IAM
2. Selecione a organização.
3. Clique em Conceder acesso.
4. No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
5. Clique em Selecionar um papel e pesquise o papel.
6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
7. Clique em Salvar.

Configurar permissões no nível do projeto

Verifique se você tem os seguintes papéis no projeto: Administrador do Service Usage, administrador da conta de serviço, administrador do IAM do projeto
Verificar os papéis
1. No console do Google Cloud , acesse a página IAM.
  Acessar IAM
2. Selecione o projeto.
3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.
4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.
Conceder os papéis
1. No console do Google Cloud , acesse a página IAM.
  Acessar IAM
2. Selecione o projeto.
3. Clique em Conceder acesso.
4. No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
5. Clique em Selecionar um papel e pesquise o papel.
6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
7. Clique em Salvar.

Configurar a Google Cloud CLI

No console do Google Cloud , ative o Cloud Shell.

Ativar o Cloud Shell

Na parte de baixo do console Google Cloud , uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

Configurar o Assured OSS

Console

No console do Google Cloud , acesse o guia de configuração do Security Command Center.

Acessar o Guia de configuração
Verifique se você está visualizando a organização em que ativou o nível Security Command Center Enterprise.
Abra o painel Revisar o resumo dos recursos de segurança.
Clique em Segurança do código > Configurar.
No painel Configurar segurança do código, clique em Configuração do AOSS.
Selecione uma nova conta de serviço ou as contas atuais a que você quer adicionar as permissões do Assured Open Source Software.
Selecione o projeto do Google Cloud em que você quer localizar os recursos do Assured OSS.
Clique em Configurar o Assured OSS.

O processo de configuração conclui automaticamente o seguinte:
- Se selecionada, cria a nova conta de serviço assuredoss@PROJECT_ID.gservicesaccount.com.
- Atribui a função de usuário do Assured OSS à conta de serviço designada para uso com o Assured OSS.
- Atribui a função de administrador do Assured OSS à conta de usuário conectada para que ela possa configurar o serviço.
- Ativa a API Assured Open Source Software e, se ainda não estiver ativada, a API Artifact Registry.
- Configura o serviço de proxy do Assured OSS em uma instância do Artifact Registry no projeto selecionado. Um repositório é provisionado para cada linguagem (Java, Python, Go e JavaScript). Esses repositórios podem extrair pacotes automaticamente do portfólio selecionado. Se um pacote não estiver disponível como parte do portfólio selecionado, os repositórios vão redirecionar a solicitação para os repositórios canônicos. O serviço de proxy é compatível apenas com a região dos EUA. Para mais informações, consulte Opções de repositório do Assured OSS.
- Concede a você e à conta de serviço permissões para acessar metadados de pacotes e notificações de projetos de propriedade do Google.
Crie uma chave de conta de serviço para cada conta de serviço designada do Assured OSS e baixe a chave no formato JSON.

Observação: as chaves de conta de serviço podem causar problemas de segurança quando não são gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura do que as chaves de conta de serviço. Se você precisar se autenticar com uma chave de conta de serviço, será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se você não conseguiu criar uma chave de conta de serviço, é possível que a criação esteja desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.
Se você adquiriu a chave de conta de serviço com uma fonte externa, valide-a antes do uso. Para mais informações, consulte Requisitos de segurança para credenciais de fontes externas.
Na linha de comando da sua máquina local, execute o seguinte comando no arquivo de chave baixado para receber a string codificada em base64:
```
base64 KEY_FILENAME.json
```
Substitua KEY_FILENAME.json pelo nome da chave da conta de serviço que você baixou.

Você precisa da string codificada em base64 ao configurar um repositório remoto para o Assured OSS.
Para fazer o download dos pacotes, use os endpoints que o Assured OSS provisiona para cada linguagem. Anote esses endpoints para usar mais tarde.
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
- Go:
```
https://us-go.pkg.dev/PROJECT_ID/assuredoss-go
```
Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o Assured OSS.
Clique em Próxima. Configure o Assured OSS com o gerenciador de repositório de artefatos da sua organização, como JFrog Artifactory ou Sonatype Nexus.

gcloud

Autentique-se em Google Cloud com uma conta de usuário que você quer usar para ativar o Assured OSS:
```
gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login
```
Pesquise o projeto em que você quer localizar os recursos do Assured OSS:
```
gcloud alpha projects search --query="displayName=PROJECT_NAME"
```
Substitua PROJECT_NAME pelo nome do projeto.
Defina o projeto em que você quer localizar os recursos do Assured OSS:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo identificador do projeto.

Atribua papéis à conta de usuário para configurar o Assured OSS:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/assuredoss.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/serviceusage.serviceUsageAdmin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/iam.serviceAccountAdmin

em que email@domain.com é o endereço de e-mail da sua conta de usuário.

Ative o Assured OSS no projeto. Ao ativar o Assured OSS, você também ativa a API Artifact Registry.
```
gcloud services enable assuredoss.googleapis.com
```
Para criar uma conta de serviço para o Assured OSS em vez de usar contas de serviço atuais, faça o seguinte:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --description="Service account for using Assured OSS"
  --display-name="Assured OSS service account"
```
Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço (por exemplo, assuredoss).
Configure as contas de serviço do Assured OSS:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --role roles/assuredoss.user
```
Substitua:
- SERVICE_ACCOUNT_NAME: o nome da conta de serviço (por exemplo, assuredoss).
- PROJECT_ID: o identificador do projeto.
Para acessar o repositório de metadados de segurança depois de configurar o Assured OSS Premium usando o gcloud, envie um e-mail para customer-support-aoss@google.com com as contas de serviço que você ativou para o Assured OSS.

Configure o serviço de proxy do Assured OSS em uma instância do Artifact Registry criando repositórios do Assured OSS. Você precisa criar repositórios para todos os idiomas. O serviço de proxy do Assured OSS que provisiona os repositórios é compatível apenas com a região dos EUA.

alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java   -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript   -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python   -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-go   -d '{"format": "GO", "mode": "AOSS_REPOSITORY"}'

Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o Assured OSS.

Esses repositórios podem extrair automaticamente pacotes do portfólio selecionado. Se um pacote não estiver disponível como parte do portfólio selecionado, os repositórios vão redirecionar a solicitação para os repositórios canônicos.

Crie uma chave de conta de serviço para cada conta de serviço do Assured OSS e faça o download da chave no formato JSON.

Observação: as chaves de conta de serviço podem causar problemas de segurança quando não são gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura do que as chaves de conta de serviço. Se você precisar se autenticar com uma chave de conta de serviço, será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se você não conseguiu criar uma chave de conta de serviço, é possível que a criação esteja desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.
Se você adquiriu a chave de conta de serviço com uma fonte externa, valide-a antes do uso. Para mais informações, consulte Requisitos de segurança para credenciais de fontes externas.
Na linha de comando, execute o seguinte comando no arquivo de chave baixado para receber a string codificada em base64:
```
base64 KEY_FILENAME.json
```
Substitua KEY_FILENAME.json pelo nome da chave da conta de serviço que você baixou.

Você precisa da string codificada em base64 ao configurar um repositório remoto para o Assured OSS.
Para fazer o download dos pacotes, use os endpoints provisionados pelo Assured OSS para cada linguagem. Anote estes endpoints:
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
- Go:
```
https://us-go.pkg.dev/PROJECT_ID/assuredoss-go
```
Substitua PROJECT_ID pelo ID do projeto que você selecionou ao configurar o Assured OSS.
Configure o Assured OSS para baixar pacotes com o gerenciador de repositório de artefatos da sua organização, como JFrog Artifactory ou Sonatype Nexus.

Se quiser, confira os pacotes disponíveis em Java, Python, Go e JavaScript:

gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login --cred-file=KEY_FILENAME.json

Substitua KEY_FILENAME.json pelo nome da chave da conta de serviço que você baixou.

export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json