Assured オープンソース ソフトウェア
Google が、お客様独自のデベロッパー ワークフローで使用および保護するものと同じ OSS パッケージを活用することで、ソフトウェア サプライ チェーンのリスクを軽減できます。
信頼できる既知のサプライヤーから OSS パッケージを取得できる
業界標準のフォーマットで提供されている保証型 SBOM の要素について詳しく把握する
Google がパッケージの脆弱性を頻繁に検出して修正することでリスクを軽減する
署名された改ざん証明の来歴で、パッケージの整合性に対する信頼度を高める
TensorFlow などの ML / AI プロジェクトを含む 2,500 以上のキュレートされた Java および Python パッケージから選択する
利点
セキュリティの強化
Google のエンドツーエンドの機能と専門知識を活用して、ソフトウェア サプライ チェーンに対する新たな脅威に対応します。
効率化
DevOps チームが OSS セキュリティ ワークフローを確立して運用する必要性を減らします。
コンプライアンスへの取り組み
新しいソフトウェア サプライ チェーンのセキュリティ規制要件を満たすよう企業をサポートします。
主な機能
主な機能
SLSA-2 準拠のビルド
パッケージは、検証可能な SLSA コンプライアンスの証拠を含む Cloud Build でビルドされます。Google では、次の 3 つのレベルのパッケージ保証を用意しています。レベル 1: Google によるビルドと署名。レベル 2: 審査済みソースおよびすべての推移的依存関係に対する証明に基づいた安全なビルド。レベル 3: すべての依存関係の推移閉包や継続的なスキャンおよびファズテストなど。
標準形式での拡充されたメタデータ
各パッケージの SBOM には、Cloud Build、Artifact Analysis、パッケージの健全性、脆弱性の影響データなど、SPDX 形式および VEX 形式で提供される拡充されたメタデータが含まれています。
ファズテストと脆弱性のテスト
パッケージには OSV データが含まれており、脆弱性について定期的にスキャン、分析、ファズテストを実施しています。
検証可能な整合性、来歴および安全な配信
パッケージとメタデータには、パッケージがどのようにビルドおよびテストされたかを示すエンドツーエンドの来歴が含まれます。
パッケージの署名済みバージョンとそのメタデータは、Google によって管理、保護された Artifact Registry から配信されます。
ポートフォリオの拡大を継続的に実施
新しいパッケージは、お客様に影響を与えるオープンソース プロジェクトに基づいて継続的に追加されています。
Citi は、エンタープライズ ソフトウェアのサプライ チェーンを保護するための業界の取り組みを提唱し、積極的にリードしています。シティグループと Google は、信頼できない未検証のオープンソースに依存することが主なリスク要因であると考えている点が共通しています。そうした背景から、Google Cloud の最新の Assured OSS のアーリー アドプターとして喜んで参加しました。これにより、リスクが軽減され、私たちのような企業で一般的に使用されている OSS コンポーネントを保護できます。
Citi Tech Fellow 社サイバー セキュリティ担当マネージング ディレクター Jon Meadows 氏
ドキュメント
ドキュメント
Assured OSS を CI / CD パイプラインに接続する
ソフトウェア デリバリー シールド
ソフトウェア サプライ チェーンを保護する
お探しのものが見つからない場合
料金
料金
Assured OSS は無料で利用できます。
開始にあたりサポートが必要な場合
お問い合わせ信頼できるパートナーと連携する
パートナーを探すもっと見る
すべてのプロダクトを見る
