Assured OSS
Assured Open Source Software
在您自己的開發人員工作流程中,使用和 Google 相同且安全的 OSS 套件,協助降低軟體供應鏈的風險。
從信任的已知供應商取得 OSS 套件
透過以業界標準格式提供的可信 SBOM 進一步瞭解要素
透過 Google 主動找出及修正套件中的安全漏洞,降低風險
透過經過簽署和防竄改的來源,提高套件完整性的可信度
2,500 多個精選 Java 和 Python 套件 (包含機器學習/AI 專案,例如 TensorFlow)
優點
提升安全性
利用 Google 的端對端功能和專業知識,解決軟體供應鏈中的新興威脅。
提高效率
減少開發運作團隊建立和執行 OSS 安全性工作流程的需求。
因應法規遵循
加速貴公司符合新的軟體供應鏈安全性規定需求。
主要功能與特色
主要功能與特色
符合 SLSA-2 法規遵循的建構作業
使用 Cloud Build 建構套件,包括可驗證的 SLSA 法規遵循證明。我們提供三種等級的套件保證,第 1 級是由 Google 建立及簽署;第 2 級是透過已通過審核的原始碼安全地建構並讓所有轉換依附元件受到認證;第 3 級包括所有依附元件的轉換結尾,並持續掃描及模糊化。
以標準格式充實中繼資料
每個套件的 SBOM 都有豐富的中繼資料,包括以 SPDX 和 VEX 格式提供的 Cloud Build、Artifact Analysis、套件健康狀態及安全漏洞影響資料。
模糊化和安全漏洞測試
套件包含 OSV 資料,並且會定期進行掃描、分析及模糊測試,以找出安全漏洞。
可驗證的完整性和來源與安全發布
套件和中繼資料包括套件建構與測試方式的端對端來源。
套件的簽署版本及其中繼資料均由 Google 代管且受到保護的 Artifact Registry 發布。
持續擴充產品組合
系統會依據影響客戶的開放原始碼專案,持續新增新的套件。
Citi 一直致力於推廣安全的企業軟體供應鏈,同時也是業界的積極提倡者。Citi 和 Google 都會將不受信任和未經驗證的開放原始碼依附元件視為金鑰風險向量。因此我們很榮幸能成為 Google Cloud 全新 Assured OSS 產品早期採用者。這項產品有助於降低風險,並保護像我們這樣的企業經常使用的 OSS 元件。
Citi Tech Fellow - 網路安全管理總監 Jon Meadows
