Google が、お客様独自のデベロッパー ワークフローで使用および保護するものと同じ OSS パッケージを活用することで、ソフトウェア サプライ チェーンのリスクを軽減できます。
信頼できる既知のサプライヤーから OSS パッケージを取得できる
業界標準のフォーマットで提供されている保証型 SBOM の要素について詳しく把握する
Google がパッケージの脆弱性を頻繁に検出して修正することでリスクを軽減する
署名された改ざん証明の来歴で、パッケージの整合性に対する信頼度を高める
TensorFlow などの ML / AI プロジェクトを含む 2,500 以上のキュレートされた Java および Python パッケージから選択する
利点
Google のエンドツーエンドの機能と専門知識を活用して、ソフトウェア サプライ チェーンに対する新たな脅威に対応します。
DevOps チームが OSS セキュリティ ワークフローを確立して運用する必要性を減らします。
新しいソフトウェア サプライ チェーンのセキュリティ規制要件を満たすよう企業をサポートします。
主な機能
パッケージは、検証可能な SLSA コンプライアンスの証拠を含む Cloud Build でビルドされます。Google では、次の 3 つのレベルのパッケージ保証を用意しています。レベル 1: Google によるビルドと署名。レベル 2: 審査済みソースおよびすべての推移的依存関係に対する証明に基づいた安全なビルド。レベル 3: すべての依存関係の推移閉包や継続的なスキャンおよびファズテストなど。
各パッケージの SBOM には、Cloud Build、Artifact Analysis、パッケージの健全性、脆弱性の影響データなど、SPDX 形式および VEX 形式で提供される拡充されたメタデータが含まれています。
パッケージには OSV データが含まれており、脆弱性について定期的にスキャン、分析、ファズテストを実施しています。
パッケージとメタデータには、パッケージがどのようにビルドおよびテストされたかを示すエンドツーエンドの来歴が含まれます。
パッケージの署名済みバージョンとそのメタデータは、Google によって管理、保護された Artifact Registry から配信されます。
新しいパッケージは、お客様に影響を与えるオープンソース プロジェクトに基づいて継続的に追加されています。
ドキュメント
料金
Assured OSS は無料で利用できます。