Assured Open Source Software (Assured OSS) memungkinkan Anda meningkatkan keamanan kode dengan menggunakan paket OSS yang digunakan Google untuk alur kerja developernya sendiri. Saat Anda menggunakan Assured OSS, developer Anda dapat memanfaatkan keahlian dan pengalaman keamanan yang diterapkan Google untuk mengamankan dependensi open source-nya sendiri.
Saat mengintegrasikan Assured OSS dengan Security Command Center, Anda dapat melakukan hal berikut:
- Pilih dari lebih dari 3.700 paket Java dan Python yang diseleksi dan paling populer, termasuk project machine learning umum dan kecerdasan buatan seperti TensorFlow, Pandas, dan Scikit-learn.
- Konfigurasikan proxy yang aman untuk mendownload semua paket Java, Python, dan JavaScript dengan pengesahan dari Assured OSS, sehingga menjadikan Google pemasok yang terkenal dan tepercaya.
- Gunakan SBOM dan VEX di Assured OSS yang disediakan dalam format standar industri seperti SPDX dan CycloneDX untuk mengetahui lebih banyak tentang bahan-bahan Anda.
- Meningkatkan keyakinan terhadap integritas paket yang Anda gunakan melalui provenance yang ditandatangani dan terbukti dapat dimodifikasi dari Google.
- Kurangi risiko keamanan saat Google secara aktif memindai, menemukan, dan memperbaiki kerentanan baru dalam paket yang diseleksi.
Sebelum memulai
Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.
Aktifkan tingkat Security Command Center Enterprise
Pastikan tingkat Security Command Center Enterprise diaktifkan di tingkat organisasi dan Anda telah menyelesaikan enam langkah pertama dalam panduan penyiapan.
Menyiapkan izin di tingkat organisasi
Anda harus menyiapkan izin di level organisasi dan level project.
-
Make sure that you have the following role or roles on the organization: Security Center Admin, Organization Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
Menyiapkan izin di level project
-
Make sure that you have the following role or roles on the project: Service Usage Admin, Service Account Admin, Project IAM Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih project.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
Menyiapkan Google Cloud CLI
Di konsol Google Cloud, aktifkan Cloud Shell.
Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.
Menyiapkan Assured OSS
Konsol
Di konsol Google Cloud, buka halaman Risk Overview Security Command Center.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Enterprise.
Klik Lihat panduan penyiapan.
Klik Siapkan keamanan kode.
Pilih akun layanan baru atau pilih akun layanan yang ada yang ingin Anda tambahi izin Assured Open Source Software.
Pilih project Google Cloud tempat Anda ingin menemukan resource Assured OSS.
Klik Set up Assured OSS.
Proses penyiapan akan otomatis menyelesaikan hal berikut:
- Jika dipilih, buat akun layanan baru
assuredoss@PROJECT_ID.gservicesaccount.com. - Menetapkan peran Assured OSS User ke akun layanan yang ditetapkan untuk digunakan dengan Assured OSS.
- Menetapkan peran Assured OSS Admin ke akun pengguna yang login agar akun tersebut dapat mengonfigurasi layanan.
- Mengaktifkan Assured Open Source Software API dan Artifact Registry API, jika belum diaktifkan.
- Siapkan layanan proxy Assured OSS dalam instance Artifact Registry dalam project yang Anda pilih. Repositori disediakan untuk setiap bahasa (Java, Python, dan JavaScript). Repositori ini dapat secara otomatis mengambil paket dari portofolio yang telah diseleksi. Jika paket tidak tersedia sebagai bagian dari portofolio yang diseleksi, repositori akan mengalihkan permintaan ke repositori kanonis. Layanan proxy hanya mendukung region AS.
- Memberi Anda dan akun layanan izin untuk mengakses metadata dan notifikasi paket dari project milik Google.
- Jika dipilih, buat akun layanan baru
Buat kunci akun layanan untuk setiap akun layanan Assured OSS yang ditetapkan dan download kunci tersebut dalam format JSON.
Pada command line di komputer lokal, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string berenkode base64:
base64 KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang telah Anda download.Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan Assured OSS untuk setiap bahasa. Catat endpoint ini untuk digunakan nanti.
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID/assuredoss-javascript
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.- Java:
Klik Next. Konfigurasikan Assured OSS dengan pengelola repositori artefak organisasi Anda, seperti JFrog Artifactory atau Sonatype Nexus.
gcloud
Lakukan autentikasi ke Google Cloud dengan akun pengguna yang ingin Anda gunakan untuk mengaktifkan Assured OSS:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login
Telusuri project tempat Anda ingin menemukan resource Assured OSS:
gcloud alpha projects search --query="displayName=PROJECT_NAME"
Ganti
PROJECT_NAMEdengan nama project.Setel project tempat Anda ingin menemukan resource Assured OSS:
gcloud config set project PROJECT_ID
Ganti
PROJECT_IDdengan project ID.Berikan peran ke akun pengguna untuk menyiapkan Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/assuredoss.admin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/serviceusage.serviceUsageAdmin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/iam.serviceAccountAdmin
Dengan
email@domain.comadalah alamat email untuk akun pengguna Anda.Mengaktifkan Assured OSS dalam project. Mengaktifkan Assured OSS juga akan mengaktifkan Artifact Registry API.
gcloud services enable assuredoss.googleapis.com
Agar dapat membuat akun layanan baru untuk Assured OSS alih-alih menggunakan akun layanan yang ada, selesaikan langkah-langkah berikut:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="Service account for using Assured OSS" --display-name="Assured OSS service account"
Ganti
SERVICE_ACCOUNT_NAMEdengan nama akun layanan (misalnya,assuredoss).Konfigurasi akun layanan untuk Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/assuredoss.user
Ganti kode berikut:
SERVICE_ACCOUNT_NAME: nama akun layanan (misalnya,assuredoss).PROJECT_ID: ID project.
Siapkan layanan proxy Assured OSS di instance Artifact Registry dengan membuat repositori Assured OSS. Anda harus membuat repositori untuk semua bahasa. Layanan proxy Assured OSS yang menyediakan repositori hanya mendukung region AS.
alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.Repositori ini dapat secara otomatis mengambil paket dari portofolio yang diseleksi. Jika paket tidak tersedia sebagai bagian dari portofolio yang diseleksi, repositori akan mengalihkan permintaan ke repositori kanonis.
Buat kunci akun layanan untuk setiap akun layanan Assured OSS dan download kunci tersebut dalam format JSON.
Di command line, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string berenkode base64:
base64 KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang telah Anda download.Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan oleh Assured OSS untuk setiap bahasa. Perhatikan endpoint ini:
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID/assuredoss-javascript
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.- Java:
Konfigurasikan Assured OSS untuk mendownload paket dengan pengelola repositori artefak organisasi Anda seperti JFrog Artifactory atau Sonatype Nexus.
Secara opsional, lihat paket Java, Python, dan JavaScript yang tersedia:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login --cred-file=KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang telah Anda download.export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang telah Anda download.gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.
Langkah selanjutnya
- Memvalidasi koneksi
- Mendownload paket Java
- Mendownload paket Python
- Mengonfigurasi repositori jarak jauh untuk mengakses dan mendownload paket Assured OSS
- Mendownload metadata keamanan
- Mengonfigurasi notifikasi untuk pembaruan paket
-
-