Assured Open Source-Software
Reduzieren Sie das Risiko für Ihre Softwarelieferkette, indem Sie dieselben OSS-Pakete in Ihren eigenen Entwickler-Workflows verwenden, die Google verwendet und sichert.
OSS-Pakete von einem vertrauenswürdigen, bekannten Anbieter abrufen
Erfahren Sie mehr über Ihre Produkte von Assured SBOMs, die in Branchenstandards verfügbar sind
Durch die aktive Erkennung und Behebung von Sicherheitslücken in Paketen durch Google das Risiko verringern
Mehr Vertrauen in die Integrität der Pakete dank signierter, manipulationssicherer Herkunft
Wählen Sie aus über 2.500 ausgewählten Java- und Python-Paketen, einschließlich ML-/KI-Projekten wie TensorFlow
Vorteile
Sicherheit erhöhen:
Nutzen Sie die End-to-End-Funktionen und das Fachwissen von Google, um die aufkommenden Bedrohungen der Softwarelieferkette zu bewältigen.
Effizienz steigern
DevOps-Teams müssen keine OSS-Sicherheits-Workflows mehr einrichten und betreiben.
Complianceanforderungen einhalten
Beschleunigen Sie die Fähigkeit Ihres Unternehmens, neue richtlinienbedingte Anforderungen an die Sicherheit der Softwarelieferkette zu erfüllen.
Wichtige Features
Wichtige Features
SLSA-2-konforme Builds
Pakete werden mit Cloud Build erstellt, einschließlich der Nachweisen der prüfbaren SLSA-Compliance. Wir bieten drei Stufen der Paketsicherheit: Stufe 1, von Google erstellt und signiert, Stufe 2, sicher aus überprüften Quellen erstellt und für alle transitiven Abhängigkeiten zertifiziert, und Stufe 3, einschließlich transitiver Schließung aller Abhängigkeiten sowie kontinuierlichem Scannen und Überprüfen.
Angereicherte Metadaten in Standardformaten
SBOMs für jedes Paket enthalten angereicherte Metadaten, einschließlich: Cloud Build, Artefaktanalyse, Paketstatus und Daten zur Auswirkung von Schwachstellen, die in den Formaten SPDX und VEX bereitgestellt werden.
Fuzzing- und Sicherheitslückentests
Pakete enthalten OSV-Daten und werden regelmäßig gescannt, analysiert und auf Sicherheitslücken geprüft.
Prüfbare Integrität und Herkunft sowie sichere Verteilung
Pakete und Metadaten enthalten eine End-to-End-Herkunftsbeschreibung hinsichtlich dem Erstellen und Testen der Pakete.
Signierte Versionen der Pakete und deren Metadaten werden von einer von Google verwalteten, gesicherten und geschützten Artifact Registry verteilt.
Fortlaufende Portfolioerweiterung
Es werden fortlaufend neue Pakete basierend auf Open-Source-Projekten hinzugefügt, die sich auf unsere Kunden auswirken.
Citi ist ein Verfechter und aktiv führend bei den Bemühungen der Branche, die Lieferketten für Unternehmenssoftware zu sichern. Sowohl Citi als auch Google betrachten nicht vertrauenswürdige und nicht geprüfte Open-Source-Abhängigkeiten als wichtigen Risikovektor. Wir freuen uns, dass wir mit als die Ersten das neue Assured OSS-Produkt von Google Cloud einsetzen können. Damit können wir Risiken reduzieren und OSS-Komponenten schützen, die von Unternehmen wie unserem häufig genutzt werden.
Jon Meadows, Managing Director, Citi Tech Fellow – Internetsicherheit
Das ist neu
Empfohlene Links
Dokumentation
Dokumentation
Jetzt starten
Unterstützte Java- und Python-Pakete
Assured OSS mit der CI/CD-Pipeline verbinden
Angereicherte Metadaten prüfen
Software Delivery Shield
Softwarelieferkette schützen
Suchen Sie nach etwas anderem?
Preise
Preise
Assured OSS ist kostenlos verfügbar.
Gleich loslegen
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Benötigen Sie Hilfe beim Einstieg?
Vertrieb kontaktierenMit einem zertifizierten Partner arbeiten
Partner findenMehr ansehen
Alle Produkte ansehen
