Assured Open Source Software
使用 Google 在您自己的开发者工作流中使用并保护的 OSS 软件包,帮助降低软件供应链的风险。
从受信任且知名的供应商处获取 OSS 软件包
详细了解 Assured SBOM 中的成分(采用行业标准格式)
通过 Google 主动发现并修复软件包中的漏洞来降低风险
通过签名的防篡改来源提高软件包完整性的信心
从 2,500 多个精选 Java 和 Python 软件包(包括 TensorFlow 等机器学习/AI 项目)中进行选择
优势
提高安全性
利用 Google 的端到端功能和专业知识,应对软件供应链新兴的威胁。
提高效率
减少 DevOps 团队在创建和运营 OSS 安全工作流方面的工作。
解决合规性问题
加速企业满足新的软件供应链安全监管要求。
主要特性
主要特性
符合 SLSA-2 的构建
软件包是使用 Cloud Build 构建的,包括可验证的 SLSA 合规性的证据。我们提供三种级别的软件包保证:第 1 级(由 Google 构建和签名)、第 2 级(通过审查的源代码安全构建并适用于所有传递依赖项)、第 3 级(包括传递性关闭所有依赖项并进行持续扫描和模糊测试)。
标准格式的丰富元数据
每个软件包的 SBOM 都附带丰富的元数据,包括 Cloud Build、Artifact Analysis、软件包运行状况和漏洞影响数据(以 SPDX 和 VEX 格式提供)。
模糊测试和漏洞测试
软件包包含 OSV 数据,并且会针对漏洞定期进行扫描、分析和模糊测试。
可验证的完整性和来源以及安全的分发
软件包和元数据包括端到端软件包构建和测试方式。
您可以从 Google 管理和保护的 Artifact Registry 分发软件包的签名版本及其元数据。
持续拓展组合
我们会根据对客户产生影响的开源项目持续添加新的软件包。
Citi 一直是业内致力于保护企业软件供应链的倡导者和积极领导者。Citi 和 Google 都将不可信且未经验证的开源依赖项视为关键风险因素。因此,我们很高兴能够率先采用 Google Cloud 新推出的 Assured OSS 产品。它可以帮助降低风险,并保护我们这样的企业常用的 OSS 组件。
Jon Meadows,Citi Tech Fellow 常务董事 - 网络安全
文档
文档
将 Assured OSS 连接到 CI/CD 流水线
Software Delivery Shield
没有看到您需要的内容?
价格
价格
Assured OSS 完全免费。
