Assured 오픈소스 소프트웨어
Google에서 사용하고 보호하는 것과 동일한 신뢰할 수 있는 OSS 패키지를 자체 개발자 워크플로에 사용하여 소프트웨어 공급망 위험을 줄이세요.
신뢰할 수 있는 알려진 공급업체에서 OSS 패키지 얻기
업계 표준 형식으로 제공되는 Assured SBOM의 재료에 대해 자세히 알아보기
Google이 패키지의 취약점을 적극적으로 찾아 수정하여 위험 감소
서명된 조작 방지 출처를 통해 패키지의 무결성에 대한 신뢰도 향상
TensorFlow와 같은 ML/AI 프로젝트를 비롯한 2,500개 이상의 선별된 Java 및 Python 패키지 중에서 선택
이점
보안 개선
Google의 엔드 투 엔드 기능과 전문 지식을 활용하여 소프트웨어 공급망에 대한 새로운 위협을 해결하세요.
효율성 제고
DevOps팀에서 OSS 보안 워크플로를 설정하고 운영해야 할 필요성을 줄이세요.
규정 준수 해결
새로운 소프트웨어 공급망 보안 규제 요건을 충족하는 비즈니스의 역량을 강화하세요.
주요 특징
주요 특징
SLSA-2 규정을 준수하는 빌드
Cloud Build에서 검증 가능한 SLSA 규정 준수의 증거를 포함한 패키지가 빌드됩니다. Google은 3가지 단계의 패키지 보증을 제공합니다. 1단계는 Google에서 빌드하고 서명, 2단계는 검증된 소스에서 안전하게 빌드하고 모든 임시 종속 항목 증명, 3단계는 모든 종속 항목의 전이적 폐쇄와 지속적인 스캔 및 퍼징이 포함됩니다.
표준 형식의 보강된 메타데이터
각 패키지의 SBOM은 Cloud Build, Artifact Analysis, 패키지 상태, SPDX 및 VEX 형식의 취약점 영향 데이터를 포함한 보강된 메타데이터와 함께 제공됩니다.
퍼징 및 취약점 테스트
패키지에는 OSV 데이터가 포함되며 정기적인 스캔, 분석, 퍼즈 테스트를 통해 취약점을 파악합니다.
검증 가능한 무결성, 출처, 보안 배포
패키지 및 메타데이터에는 패키지가 빌드되고 테스트된 방법에 대한 엔드 투 엔드 출처가 포함됩니다.
서명된 버전의 패키지 및 메타데이터는 Google에서 관리하고 보호하는 Artifact Registry에서 배포됩니다.
지속적인 포트폴리오 확장
고객에게 영향을 미치는 오픈소스 프로젝트를 기반으로 새 패키지가 지속적으로 추가됩니다.
Citi는 기업 소프트웨어 공급망을 보호하기 위한 업계의 노력을 지지하고 적극적으로 이끌어 왔습니다. Citi와 Google은 모두 신뢰할 수 없거나 확인되지 않은 오픈소스 종속 항목을 주요 위험 벡터로 보고 있습니다. 이러한 이유로 Google Cloud의 새로운 Assured OSS 제품을 초기에 도입하게 된 것을 기쁘게 생각합니다. 이렇게 하면 위험을 완화하고 당사와 같은 기업에서 일반적으로 사용하는 OSS 구성요소를 보호할 수 있습니다.
존 메도우스, Citi Tech Fellow 사이버 보안 부문 상무이사
문서
문서
Assured OSS를 CI/CD 파이프라인에 연결
Software Delivery Shield
원하는 내용을 찾을 수 없으신가요?
가격 책정
가격 책정
Assured OSS는 무료로 사용할 수 있습니다.
