Questa pagina è stata tradotta dall'API Cloud Translation.

Integrazione con Assured OSS per la sicurezza del codice

Assured Open Source Software (Assured OSS) ti consente di migliorare la sicurezza del codice utilizzando i pacchetti OSS che Google utilizza per i propri flussi di lavoro degli sviluppatori. Quando utilizzi Assured OSS, gli sviluppatori possono sfruttare l'esperienza e l'esperienza in materia di sicurezza che Google applica per proteggere le proprie dipendenze open source.

Quando integri Assured OSS con Security Command Center, puoi fare quanto segue:

Scegli tra gli oltre 3700 pacchetti Java e Python selezionati e più popolari, tra cui progetti comuni di machine learning e intelligenza artificiale come TensorFlow, Pandas e Scikit-learn.
Configura un proxy sicuro per scaricare tutti i pacchetti Java, Python e JavaScript con attestazioni di Assured OSS, rendendo Google un fornitore noto e affidabile.
Per saperne di più sui tuoi ingredienti, utilizza gli SBOM e VEX in Assured OSS forniti in formati standard di settore come SPDX e CycloneDX.
Aumenta la fiducia nell'integrità dei pacchetti che utilizzi, grazie alla provenienza firmata ed evidenzia dalle manomissioni.
Riduci i rischi per la sicurezza poiché Google sta scansionando, trovando e correggendo attivamente le nuove vulnerabilità in pacchetti selezionati.

Prima di iniziare

Completa queste attività prima di quelle rimanenti su questa pagina.

Attiva il livello Enterprise di Security Command Center

Verifica che il livello di Security Command Center Enterprise sia attivato a livello di organizzazione e di aver completato i primi sei passaggi della guida alla configurazione.

Configura le autorizzazioni a livello di organizzazione

Devi impostare le autorizzazioni a livello di organizzazione e di progetto.

Assicurati di disporre dei seguenti ruoli nell'organizzazione: Security Center Admin, Organization Admin
Verifica i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona l'organizzazione.
3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.
  
  Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.
4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.
Concedi i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona l'organizzazione.
3. Fai clic su Concedi l'accesso.
4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
7. Fai clic su Salva.

Configurare le autorizzazioni a livello di progetto

Assicurati di disporre dei seguenti ruoli nel progetto: Service Usage Admin, Service Account Admin, Project IAM Admin
Verifica i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona il progetto.
3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.
  
  Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.
4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.
Concedi i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona il progetto.
3. Fai clic su Concedi l'accesso.
4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
7. Fai clic su Salva.

Configura Google Cloud CLI

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.

Configura Assured OSS

Console

Nella console Google Cloud, vai alla pagina Panoramica del rischio di Security Command Center.

Vai alla panoramica dei rischi
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Security Command Center Enterprise.
Fai clic su Visualizza la guida alla configurazione.
Fai clic su Configura la sicurezza del codice.
Seleziona un nuovo account di servizio o quelli esistenti a cui vuoi aggiungere le autorizzazioni Open Source Software di Assured.
Seleziona il progetto Google Cloud in cui vuoi individuare le risorse Assured OSS.
Fai clic su Configura Assured OSS.

La procedura di configurazione completa automaticamente quanto segue:
- Se selezionato, viene creato il nuovo account di servizio assuredoss@PROJECT_ID.gservicesaccount.com.
- Assegna il ruolo Utente Assured OSS all'account di servizio designato da utilizzare con Assured OSS.
- Assegna il ruolo Amministratore Assured OSS all'account utente che ha eseguito l'accesso in modo che l'account possa configurare il servizio.
- Abilita l'API Assured Open Source Software e, se non è già abilitata, l'API Artifact Registry.
- Configura il servizio proxy Assured OSS in un'istanza di Artifact Registry nel progetto selezionato. Viene eseguito il provisioning di un repository per ogni linguaggio (Java, Python e JavaScript). Questi repository possono estrarre automaticamente pacchetti dal portafoglio selezionato. Se un pacchetto non è disponibile all'interno del portafoglio selezionato, i repository reindirizzano la richiesta ai repository canonici. Il servizio proxy supporta solo l'area geografica degli Stati Uniti.
- Concede a te e all'account di servizio le autorizzazioni per accedere ai metadati e alle notifiche dei pacchetti dei progetti di proprietà di Google.
Crea una chiave dell'account di servizio per ogni account di servizio Assured OSS designato e scarica la chiave in formato JSON.

Nota: Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte nelle Best practice per la gestione delle chiavi degli account di servizio. Se non ti viene consentito di creare una chiave dell'account di servizio, la creazione di chiavi dell'account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione di risorse dell'organizzazione sicure per impostazione predefinita.
Nella riga di comando sulla macchina locale, esegui questo comando nel file della chiave scaricato per ottenere la stringa con codifica Base64:
```
base64 KEY_FILENAME.json
```
Sostituisci KEY_FILENAME.json con il nome della chiave dell'account di servizio che hai scaricato.

Quando configuri un repository remoto per Assured OSS, ti serve la stringa con codifica Base64.
Per scaricare i pacchetti, utilizza gli endpoint forniti da Assured OSS per ogni lingua. Prendi nota di questi endpoint per utilizzarli in seguito.
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
Sostituisci PROJECT_ID con l'ID del progetto selezionato al momento della configurazione di Assured OSS.
Tocca Avanti. Configura Assured OSS con il gestore di repository di elementi della tua organizzazione, come JFrog Artifact o Sonatype Nexus.

gcloud

Esegui l'autenticazione in Google Cloud con un account utente che vuoi utilizzare per abilitare Assured OSS:
```
gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login
```
Cerca il progetto in cui vuoi individuare le risorse Assured OSS:
```
gcloud alpha projects search --query="displayName=PROJECT_NAME"
```
Sostituisci PROJECT_NAME con il nome del progetto.
Imposta il progetto in cui vuoi individuare le risorse Assured OSS:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'identificatore del progetto.

Concedi ruoli all'account utente per configurare Assured OSS:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/assuredoss.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/serviceusage.serviceUsageAdmin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/iam.serviceAccountAdmin

Dove email@domain.com è l'indirizzo email del tuo account utente.

Abilita Assured OSS nel progetto. L'abilitazione di Assured OSS abilita anche l'API Artifact Registry.
```
gcloud services enable assuredoss.googleapis.com
```
Per creare un nuovo account di servizio per Assured OSS anziché utilizzare gli account di servizio esistenti, completa quanto segue:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --description="Service account for using Assured OSS"
  --display-name="Assured OSS service account"
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio (ad esempio, assuredoss).
Configura gli account di servizio per Assured OSS:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --role roles/assuredoss.user
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME: il nome dell'account di servizio (ad esempio, assuredoss).
- PROJECT_ID: l'identificatore del progetto.

Configura il servizio proxy Assured OSS in un'istanza Artifact Registry creando repository Assured OSS. Devi creare repository per tutti i linguaggi. Il servizio proxy di Assured OSS che esegue il provisioning dei repository supporta solo l'area geografica degli Stati Uniti.

alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java   -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript   -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python   -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'

Sostituisci PROJECT_ID con l'ID del progetto selezionato al momento della configurazione di Assured OSS.

Questi repository possono estrarre automaticamente pacchetti dal portafoglio selezionato. Se un pacchetto non è disponibile all'interno del portafoglio selezionato, i repository reindirizzano la richiesta ai repository canonici.

Crea una chiave dell'account di servizio per ogni account di servizio Assured OSS e scarica la chiave in formato JSON.

Nota: Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte nelle Best practice per la gestione delle chiavi degli account di servizio. Se non ti viene consentito di creare una chiave dell'account di servizio, la creazione di chiavi dell'account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione di risorse dell'organizzazione sicure per impostazione predefinita.
Nella riga di comando, esegui questo comando nel file della chiave scaricato per ottenere la stringa con codifica Base64:
```
base64 KEY_FILENAME.json
```
Sostituisci KEY_FILENAME.json con il nome della chiave dell'account di servizio che hai scaricato.

Quando configuri un repository remoto per Assured OSS, ti serve la stringa con codifica Base64.
Per scaricare i pacchetti, utilizza gli endpoint di cui è stato eseguito il provisioning da Assured OSS per ogni lingua. Prendi nota di questi endpoint:
- Java:
```
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
```
- Python:
```
https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
```
- JavaScript:
```
https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript
```
Sostituisci PROJECT_ID con l'ID del progetto selezionato al momento della configurazione di Assured OSS.
Configura Assured OSS per scaricare pacchetti con il gestore di repository di elementi della tua organizzazione, come JFrog Artifact o Sonatype Nexus.

Facoltativamente, visualizza i pacchetti Java, Python e JavaScript disponibili:

gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login --cred-file=KEY_FILENAME.json

Sostituisci KEY_FILENAME.json con il nome della chiave dell'account di servizio che hai scaricato.

export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json