Assured Open Source Software
Réduisez les risques liés à votre chaîne d'approvisionnement logicielle en utilisant les mêmes packages OSS que ceux que Google utilise et sécurise dans vos workflows développeur.
Obtenez vos packages OSS auprès d'un fournisseur fiable et connu ;
Apprenez-en davantage sur les ingrédients fournis par Assured SBOM dans les formats standards du secteur ;
Réduisez les risques en demandant à Google de rechercher et de corriger activement les failles des packages ;
Renforcez la confiance dans l'intégrité des packages grâce à une provenance signée et inviolable ;
Choisissez parmi plus de 2 500 packages Java et Python sélectionnés, y compris des projets de ML et d'IA comme TensorFlow
Avantages
Améliorer la sécurité
Exploitez les fonctionnalités et l'expertise de bout en bout de Google pour faire face aux nouvelles menaces qui pèsent sur la chaîne d'approvisionnement logicielle.
Augmenter l'efficacité
Évitez à vos équipes DevOps d'avoir à établir et à exporter des workflows de sécurité OSS.
Conformité de l'adresse
Accélérez la capacité de votre entreprise à répondre aux nouvelles exigences réglementaires en termes de sécurité sur la chaîne d'approvisionnement logicielle.
Principales fonctionnalités
Principales fonctionnalités
Builds conformes à la norme SLSA-2
Les packages sont créés avec Cloud Build et comportent une preuve vérifiable de conformité avec la loi SLSA. Nous proposons trois niveaux d'assurance pour les packages : le niveau 1 ; qui est conçu et signé par Google, le niveau 2 ; qui est établi de manière sécurisée à partir de sources approuvées et qui est certifié par toutes les dépendances transitives et le niveau 3, y compris la clôture transitive de toutes les dépendances, qui sont analysées et soumises aux tests fuzz en continu.
Métadonnées enrichies dans des formats standards
Les SBOM de chaque package sont associées à des métadonnées enrichies fournies aux formats SPDX et VEX, telles que Cloud Build, l'état des packages Artifact Analysis et les données sur l'impact des failles.
Tests fuzz et de vulnérabilité
Les packages incluent des données OSV et font régulièrement l'objet d'analyses et de tests fuzz afin de détecter les failles.
Intégrité/provenance vérifiables et distribution sécurisée
Les packages et les métadonnées incluent la provenance de bout en bout sur le processus de création et de test des packages.
Les versions signées des packages et de leurs métadonnées sont distribuées à partir d'Artifact Registry, une solution gérée, sécurisée et protégée par Google.
Développement continu du portefeuille
De nouveaux packages sont ajoutés en continu en fonction des projets Open Source ayant un impact sur nos clients.
Au sein du secteur, Citi est un leader actif et très investi dans les efforts visant à sécuriser les chaînes d'approvisionnement logicielles des entreprises. Citi et Google considèrent les dépendances Open Source non fiables et non validées comme un vecteur de risque de clé. C'est pourquoi nous sommes ravis de figurer parmi les utilisateurs de la première heure du nouveau produit Assured OSS de Google Cloud. Il peut contribuer à réduire les risques et à protéger les composants OSS couramment utilisés par les entreprises comme la nôtre.
Jon Meadows, Managing Director, Citi Tech Fellow – Cyber Security
Nouveautés
Lectures conseillées
Documentation
Documentation
Premiers pas
Packages Java et Python compatibles
Connecter Assured OSS à votre pipeline CI/CD
Examiner les métadonnées enrichies
Bouclier de livraison de logiciels
Protéger votre chaîne d'approvisionnement logicielle
Vous ne trouvez pas ce que vous cherchez ?
Tarification
Tarifs
Assured OSS est disponible sans frais.
Passez à l'étape suivante
Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.
Vous avez besoin d'aide pour démarrer ?
Contacter le service commercialFaites appel à un partenaire de confiance
Trouvez un partenairePoursuivez vos recherches
Voir tous les produits
