移動
Assured OSS

Assured オープンソース ソフトウェア

Google が、お客様独自のデベロッパー ワークフローで使用および保護するものと同じ OSS パッケージを活用することで、ソフトウェア サプライ チェーンのリスクを軽減できます。

  • 信頼できる既知のサプライヤーから OSS パッケージを取得できる

  • 業界標準のフォーマットで提供されている保証型 SBOM の要素について詳しく把握する

  • Google がパッケージの脆弱性を頻繁に検出して修正することでリスクを軽減する

  • 署名された改ざん証明の来歴で、パッケージの整合性に対する信頼度を高める

  • TensorFlow などの ML / AI プロジェクトを含む 2,500 以上のキュレートされた Java および Python パッケージから選択する

利点

セキュリティの強化

Google のエンドツーエンドの機能と専門知識を活用して、ソフトウェア サプライ チェーンに対する新たな脅威に対応します。

効率化

DevOps チームが OSS セキュリティ ワークフローを確立して運用する必要性を減らします。

コンプライアンスへの取り組み

新しいソフトウェア サプライ チェーンのセキュリティ規制要件を満たすよう企業をサポートします。

主な機能

主な機能

SLSA-2 準拠のビルド

パッケージは、検証可能な SLSA コンプライアンスの証拠を含む Cloud Build でビルドされます。Google では、次の 3 つのレベルのパッケージ保証を用意しています。レベル 1: Google によるビルドと署名。レベル 2: 審査済みソースおよびすべての推移的依存関係に対する証明に基づいた安全なビルド。レベル 3: すべての依存関係の推移閉包や継続的なスキャンおよびファズテストなど。

標準形式での拡充されたメタデータ

各パッケージの SBOM には、Cloud BuildArtifact Analysis、パッケージの健全性、脆弱性の影響データなど、SPDX 形式および VEX 形式で提供される拡充されたメタデータが含まれています。

ファズテストと脆弱性のテスト

パッケージには OSV データが含まれており、脆弱性について定期的にスキャン、分析、ファズテストを実施しています。

検証可能な整合性、来歴および安全な配信

パッケージとメタデータには、パッケージがどのようにビルドおよびテストされたかを示すエンドツーエンドの来歴が含まれます。

パッケージの署名済みバージョンとそのメタデータは、Google によって管理、保護された Artifact Registry から配信されます。

ポートフォリオの拡大を継続的に実施

新しいパッケージは、お客様に影響を与えるオープンソース プロジェクトに基づいて継続的に追加されています。

cit
Citi は、エンタープライズ ソフトウェアのサプライ チェーンを保護するための業界の取り組みを提唱し、積極的にリードしています。シティグループと Google は、信頼できない未検証のオープンソースに依存することが主なリスク要因であると考えている点が共通しています。そうした背景から、Google Cloud の最新の Assured OSS のアーリー アドプターとして喜んで参加しました。これにより、リスクが軽減され、私たちのような企業で一般的に使用されている OSS コンポーネントを保護できます。

Citi Tech Fellow 社サイバー セキュリティ担当マネージング ディレクター Jon Meadows 氏

ドキュメント

ドキュメント

Quickstart

使ってみる

サービス アカウントを取得してサービスを有効にし、接続を検証して、Assured OSS の使用を開始します。
Quickstart

サポート対象の Java パッケージと Python パッケージ

Assured OSS ポートフォリオでサポートされている現在のパッケージをすべて表示します。
Tutorial

Assured OSS を CI / CD パイプラインに接続する

Assured OSS を一般的なリポジトリ マネージャー Artifact Registry、Artifactory、Nexus と統合するためのオプションと手順をご利用ください。またはリンク先の構成スクリプトに直接アクセスすることもできます。
Quickstart

拡充されたメタデータを確認する

SPDX、VEX、パッケージの状態、ライセンス情報などの主要なメタデータにアクセスします。
Google Cloud Basics

ソフトウェア デリバリー シールド

Google のフルマネージドのエンドツーエンド ソリューションにより、SDLC 全体(開発、供給、CI / CD、ランタイム)におけるソフトウェア サプライ チェーンのセキュリティを強化します。
Google Cloud Basics

ソフトウェア サプライ チェーンを保護する

ソフトウェア サプライ チェーンのプロセスやシステム全体でのソフトウェア保護に役立つベスト プラクティスについて学習します。

お探しのものが見つからない場合

料金

料金

Assured OSS は無料で利用できます。

次のステップ

$300 分の無料クレジットと 20 以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
コンソール
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
Google Cloud