与 Assured OSS 集成,确保代码安全

借助 Assured Open Source Software (Assured OSS),您可以增强代码安全性,方法是使用 Google 用于其自己的开发者工作流的 OSS 软件包。当您使用 Assured OSS 时,您的开发者可以利用 Google 保护其开源依赖项的安全专业知识和经验。

将 Assured OSS 与 Security Command Center 集成后,您可以执行以下操作:

  • 从 3700 多种精选的热门 Java 和 Python 软件包中进行选择,包括 TensorFlow、Pandas 和 Scikit-learn 等常见的机器学习和人工智能项目。
  • 配置安全代理以下载所有 Java、Python 和 JavaScript 软件包,其中包含 Assured OSS 的证明,从而使 Google 成为知名的可信供应商。
  • 使用 Assured OSS 中的 SBOM 和 VEX,这些 SBOM 和 VEX 以 SPDX 和 CycloneDX 等行业标准格式提供,以详细了解您的要素。
  • 通过 Google 的已签名防篡改出处,提高对所用软件包完整性的信心。
  • 在 Google 积极扫描、查找和修复精选软件包中的新漏洞的过程中,降低安全风险。

准备工作

请先完成这些任务,然后再完成此页面上的其余任务。

激活 Security Command Center Enterprise 层级

确认 Security Command Center Enterprise 层级已在组织级别激活,并且您是否完成了设置指南中的前六个步骤。

在组织级别设置权限

您必须在组织级别和项目级别设置权限。

  1. 确保您拥有组织的以下一个或多个角色: Security Center Admin, Organization Admin

    检查角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择组织。

    3. 主账号列中,找到您的电子邮件地址所在的行。

      如果您的电子邮件地址不在此列,则表示您没有任何角色。

    4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

    授予角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择组织。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的电子邮件地址。
    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击 Save(保存)。

在项目级别设置权限

  1. 确保您拥有项目的以下一个或多个角色: Service Usage Admin, Service Account Admin, Project IAM Admin

    检查角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。

    3. 主账号列中,找到您的电子邮件地址所在的行。

      如果您的电子邮件地址不在此列,则表示您没有任何角色。

    4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

    授予角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的电子邮件地址。
    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击 Save(保存)。

设置 Google Cloud CLI

在 Google Cloud 控制台中,激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。

设置 Assured OSS

控制台

  1. 在 Google Cloud 控制台中,转到 Security Command Center 风险概览页面。

    转到“风险概览”

  2. 验证您是否正在查看已激活 Security Command Center Enterprise 层级的组织。

  3. 点击查看设置指南

  4. 点击 Set up code security(设置代码安全性)。

  5. 选择新的服务帐号,或选择您要向其添加有保障的开源软件权限的现有服务帐号。

  6. 选择您要将 Assured OSS 资源定位到的 Google Cloud 项目。

  7. 点击设置 Assured OSS

    设置过程会自动完成以下操作:

    • 如果选中此项,将创建新的服务帐号 assuredoss@PROJECT_ID.gservicesaccount.com
    • 将 Assured OSS User 角色分配给指定的服务帐号,以便与 Assured OSS 一起使用。
    • 将 Assured OSS Admin 角色分配给已登录的用户账号,以便该账号可以配置服务。
    • 启用 Assured Open Source Software API,如果未启用,则启用 Artifact Registry API。
    • 在所选项目的 Artifact Registry 实例中设置 Assured OSS 代理服务。系统为每种语言(Java、Python 和 JavaScript)预配了一个代码库。这些代码库可以从精选的产品组合中自动拉取软件包。如果某个软件包未包含在精选组合中,代码库会将请求重定向到规范代码库。代理服务仅支持美国区域。
    • 向您和服务帐号授予从 Google 拥有的项目中访问软件包元数据和通知的权限。

  8. 为每个指定的 Assured OSS 服务帐号创建服务帐号密钥,并以 JSON 格式下载密钥。

  9. 在本地机器上的命令行中,针对下载的密钥文件运行以下命令,以获取 base64 编码的字符串:

    base64 KEY_FILENAME.json

    KEY_FILENAME.json 替换为您下载的服务帐号密钥的名称。

    在为 Assured OSS 设置远程仓库时,您需要 base64 编码的字符串。

  10. 如需下载软件包,请使用 Assured OSS 为每种语言预配的端点。请记下这些端点以备后用。

    • Java: 
      https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
    • Python: 
      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
    • JavaScript: 
      https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript

    PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目的 ID。

  11. 点击下一步。使用组织的工件仓库管理器(例如 JFrog Artifactory 或 Sonatype Nexus)配置 Assured OSS

gcloud

  1. 使用您希望用于启用 Assured OSS 的用户账号向 Google Cloud 进行身份验证:

    gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login

  2. 搜索要在其中查找 Assured OSS 资源的项目:

    gcloud alpha projects search --query="displayName=PROJECT_NAME"

    PROJECT_NAME 替换为项目名称。

  3. 设置要在其中查找 Assured OSS 资源的项目:

    gcloud config set project PROJECT_ID

    PROJECT_ID 替换为项目标识符。

  4. 向用户账号授予角色以设置 Assured OSS:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/assuredoss.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/serviceusage.serviceUsageAdmin

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:email@domain.com \
  --role=roles/iam.serviceAccountAdmin

    其中,email@domain.com 是您的用户帐号的电子邮件地址。

  5. 在项目中启用 Assured OSS。启用 Assured OSS 会同时启用 Artifact Registry API。

    gcloud services enable assuredoss.googleapis.com

  6. 如需为 Assured OSS 创建新的服务帐号而不是使用现有服务帐号,请完成以下步骤:

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --description="Service account for using Assured OSS"
  --display-name="Assured OSS service account"

    SERVICE_ACCOUNT_NAME 替换为服务帐号的名称(例如 assuredoss)。

  7. 为 Assured OSS 配置服务账号:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --role roles/assuredoss.user

    请替换以下内容:

    • SERVICE_ACCOUNT_NAME:服务帐号的名称(例如 assuredoss)。
    • PROJECT_ID:项目标识符。

  8. 通过创建 Assured OSS 代码库,在 Artifact Registry 实例中设置 Assured OSS 代理服务。您必须为所有语言创建代码库。预配代码库的 Assured OSS 代理服务仅支持美国区域。

    alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java   -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript   -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}'

gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python   -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'

    PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目的 ID。

    这些代码库可以从精选组合中自动拉取软件包。如果某个软件包未包含在精选组合中,代码库会将请求重定向到规范代码库。

  9. 为每个 Assured OSS 服务帐号创建服务帐号密钥,并以 JSON 格式下载密钥。

  10. 在命令行中,针对下载的密钥文件运行以下命令,以获取 base64 编码的字符串:

    base64 KEY_FILENAME.json

    KEY_FILENAME.json 替换为您下载的服务帐号密钥的名称。

    在为 Assured OSS 设置远程仓库时,您需要 base64 编码的字符串。

  11. 如需下载软件包,请使用 Assured OSS 为每种语言预配的端点。请记下这些端点:

    • Java: 
      https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
    • Python: 
      https://us-python.pkg.dev/PROJECT_ID/assuredoss-python
    • JavaScript: 
      https://us-npm.pkg.dev/PROJECT_ID/assuredoss-javascript

    PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目的 ID。

  12. 配置 Assured OSS,以使用组织的工件仓库管理器(例如 JFrog Artifactory 或 Sonatype Nexus)下载软件包。

  13. (可选)查看可用的 Java、Python 和 JavaScript 软件包:

    gcloud auth revoke
gcloud auth application-default revoke
gcloud auth login --cred-file=KEY_FILENAME.json

    KEY_FILENAME.json 替换为您下载的服务帐号密钥的名称。

    export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json

    KEY_FILENAME.json 替换为您下载的服务帐号密钥的名称。

    gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages"
gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages"
gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"

    PROJECT_ID 替换为您在设置 Assured OSS 时选择的项目的 ID。

后续步骤