Intégrer Assured OSS pour sécuriser le code

Assured OSS (Assured OSS) vous permet d'améliorer la sécurité de votre code grâce aux packages OSS utilisés par Google pour ses propres workflows de développement. Lorsque vous utilisez Assured OSS, votre les développeurs peuvent bénéficier de l'expertise et de l'expérience en sécurité Google s'efforce de sécuriser ses propres dépendances Open Source.

Lorsque vous intégrez Assured OSS à Security Command Center, vous pouvez effectuer les opérations suivantes : suivantes:

  • Faites votre choix parmi des milliers de sélectionnés en Java et Python parmi les plus populaires. , y compris les outils courants de machine learning et d'intelligence artificielle tels que TensorFlow, Pandas et scikit-learn.
  • Configurer un proxy sécurisé pour télécharger tous les fichiers Java, Python et JavaScript des packages avec des attestations d'Assured OSS, ce qui fait de Google un fournisseur connu et digne de confiance.
  • Utilisez les SBOM et VEX dans Assured OSS fournis dans les normes du secteur formats comme SPDX et CycloneDX pour en savoir plus sur vos ingrédients.
  • Renforcer la confiance dans l'intégrité des packages que vous utilisez sur la base d'informations provenant de Google, signées et inviolables.
  • Réduisez les risques de sécurité à mesure que Google analyse, recherche et corrige les failles dans des packages sélectionnés.

Avant de commencer

Effectuez ces tâches avant de terminer celles qui figurent sur cette page.

Activer le niveau Security Command Center Enterprise

Vérifiez que Security Command Center Enterprise niveau supérieur est activé au à l'échelle de l'organisation et que vous avez réalisé les six premières étapes du guide de configuration.

Configurer des autorisations au niveau de l'organisation

Vous devez configurer les autorisations au niveau de l'organisation et du projet.

  1. Make sure that you have the following role or roles on the organization: Security Center Admin, Organization Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez l'organisation.
    3. Cliquez sur Accorder l'accès.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

    Configurer des autorisations au niveau du projet

    1. Make sure that you have the following role or roles on the project: Service Usage Admin, Service Account Admin, Project IAM Admin

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur Accorder l'accès.
      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
      7. Cliquez sur Enregistrer.

      Configurer la Google Cloud CLI

      Vous pouvez utiliser les exemples gcloud CLI de cette page dans l'un des environnements de développement suivants :

      • Cloud Shell : pour utiliser un terminal en ligne avec gcloud CLI déjà configuré, activez Cloud Shell.

        En bas de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

      • Shell local : pour utiliser gcloud CLI dans un environnement de développement local, installez et initialisez gcloud CLI.

      Configurer Assured OSS

      Console

      1. Dans la console Google Cloud, accédez à la page Aperçu des risques de Security Command Center.

        Accéder à la page "Vue d'ensemble des risques"

      2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau de sécurité de Security Command Center Enterprise activé.

      3. Cliquez sur Afficher le guide de configuration.

      4. Cliquez sur Configurer la sécurité du code.

      5. Sélectionnez un nouveau compte de service ou les comptes de service existants auquel vous souhaitez ajouter les autorisations Assured Open Source Software.

      6. Sélectionnez le projet Google Cloud dans lequel vous souhaitez placer le Ressources Assured OSS.

      7. Cliquez sur Configurer Assured OSS.

        Le processus de configuration effectue automatiquement les opérations suivantes:

        • Si cette option est sélectionnée, le compte de service est créé. assuredoss@PROJECT_ID.gservicesaccount.com
        • Il attribue le rôle d'utilisateur Assured OSS au compte de service désigné à à utiliser avec Assured OSS.
        • Il attribue le rôle d'administrateur Assured OSS au compte utilisateur connecté. que le compte puisse configurer le service.
        • Active l'API Assured Open Source Software et, si ce n'est pas déjà fait, l'API Artifact Registry.
        • Il configure le service proxy Assured OSS dans une Instance Artifact Registry dans le projet que vous avez sélectionné. A est provisionné pour chaque langage (Java, Python JavaScript). Ces dépôts peuvent extraire automatiquement des packages à partir de le portfolio organisé. Si un package n'est pas disponible dans le cadre du portfolio, les référentiels redirigent la demande vers dans les dépôts canoniques. Le service proxy n'est disponible que pour les États-Unis.
        • Vous et le compte de service pouvez accéder aux packages les métadonnées et les notifications des projets appartenant à Google.
      8. Créer un compte de service clé pour chaque compte de service Assured OSS désigné et téléchargez la clé au format JSON.

      9. Dans la ligne de commande sur votre machine locale, exécutez la commande suivante sur le fichier de clé téléchargé pour obtenir Chaîne encodée en base64:

        base64 KEY_FILENAME.json
        

        Remplacez KEY_FILENAME.json par le nom du que vous avez téléchargée.

        Vous avez besoin de la chaîne encodée en base64 lorsque vous configurez un dépôt distant pour Assured OSS.

      10. Pour télécharger les packages, utilisez les points de terminaison Provisions Assured OSS pour chaque langage. Notez ces points de terminaison pour une utilisation ultérieure.

        • Java:
          https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
        • Python:
          https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
        • JavaScript:
          https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript

        Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

      11. Cliquez sur Suivant. Configurer Assured OSS avec le gestionnaire de dépôts d'artefacts de votre organisation tel que JFrog Artifactory ou Sonatype Nexus.

      gcloud

      1. Authentifiez-vous auprès de Google Cloud avec le compte utilisateur que vous souhaitez utiliser pour activer Assured OSS:

        gcloud auth revoke
        gcloud auth application-default revoke
        gcloud auth login
        
      2. Recherchez le projet dans lequel se trouve Ressources Assured OSS:

        gcloud alpha projects search --query="displayName=PROJECT_NAME"
        

        Remplacez PROJECT_NAME par le nom du projet.

      3. Définissez le projet dans lequel vous souhaitez localiser Assured OSS ressources:

        gcloud config set project PROJECT_ID
        

        Remplacez PROJECT_ID par l'identifiant du projet.

      4. Attribuez des rôles au compte utilisateur pour configurer Assured OSS:

        gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=user:email@domain.com \
          --role=roles/assuredoss.admin
        
        gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=user:email@domain.com \
          --role=roles/serviceusage.serviceUsageAdmin
        
        gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=user:email@domain.com \
          --role=roles/iam.serviceAccountAdmin
        

        email@domain.com est l'adresse e-mail de votre compte utilisateur.

      5. Activez Assured OSS dans le projet. Activation... Assured OSS active également l'API Artifact Registry.

        gcloud services enable assuredoss.googleapis.com
        
      6. Pour créer un compte de service pour Assured OSS au lieu de à l'aide de comptes de service existants, procédez comme suit:

        gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
          --description="Service account for using Assured OSS"
          --display-name="Assured OSS service account"
        

        Remplacez SERVICE_ACCOUNT_NAME par le nom du (par exemple, assuredoss).

      7. Configurez les comptes de service pour Assured OSS:

        gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
          --role roles/assuredoss.user
        

        Remplacez les éléments suivants :

        • SERVICE_ACCOUNT_NAME: nom du (par exemple, assuredoss).
        • PROJECT_ID: identifiant du projet.
      8. Configurer le service proxy Assured OSS dans un registre Artifact Registry en créant des dépôts Assured OSS. Vous devez des dépôts pour tous les langages. Assured OSS qui provisionne les dépôts et est compatible avec la région uniquement.

        alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X'
        
        gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java   -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}'
        
        gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript   -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}'
        
        gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python   -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'
        

        Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

        Ces dépôts peuvent extraire automatiquement des packages de produits. Si un package n’est pas disponible dans le portfolio sélectionné, les dépôts redirigent la requête vers les référentiels canoniques.

      9. Créer un compte de service clé pour chaque compte de service Assured OSS et téléchargez la clé au format JSON.

      10. Dans la ligne de commande, exécutez la commande suivante sur le fichier de clé téléchargé pour obtenir Chaîne encodée en base64:

        base64 KEY_FILENAME.json
        

        Remplacez KEY_FILENAME.json par le nom du que vous avez téléchargée.

        Vous avez besoin de la chaîne encodée en base64 lorsque vous configurez un dépôt distant pour Assured OSS.

      11. Pour télécharger les packages, utilisez les points de terminaison provisionnés par Assured OSS pour chaque langue. Prenez note de ces points de terminaison:

        • Java:
          https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
        • Python:
          https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
        • JavaScript:
          https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript

        Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

      12. Configurer Assured OSS pour télécharger des packages à l'aide du gestionnaire de dépôts d'artefacts de votre organisation comme JFrog Artifactory ou Sonatype Nexus.

      13. Vous pouvez également afficher les packages Java, Python et JavaScript disponibles:

        gcloud auth revoke
        gcloud auth application-default revoke
        gcloud auth login --cred-file=KEY_FILENAME.json
        

        Remplacez KEY_FILENAME.json par le nom du que vous avez téléchargée.

        export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json
        

        Remplacez KEY_FILENAME.json par le nom du que vous avez téléchargée.

        gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages"
        gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages"
        gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"
        

        Remplacez PROJECT_ID par l'ID du projet que vous avez sélectionné lors de la configuration d'Assured OSS.

      Étape suivante