Assured OSS
Ihre vertrauenswürdige Quelle
für Open-Source-Softwarepakete
Verbessern Sie die Sicherheit Ihrer Softwarelieferkette, indem Sie dieselben vertrauenswürdigen Open-Source-Softwarepakete (OSS) einbinden, die Google sichert und in Ihren eigenen Entwicklerworkflows verwendet.
-
OSS-Pakete von einem vertrauenswürdigen und bekannten Anbieter erhalten
-
Von Assured SBOMs erfahren Sie mehr über Ihre Zutaten – in branchenüblichen Formaten
-
Reduzieren Sie das Risiko und profitieren Sie davon, dass Google aktiv Schwachstellen in Paketen findet und behebt.
-
Erhöhen Sie das Vertrauen in die Integrität der Pakete durch eine manipulationssichere Herkunft
-
Auswahl aus über 1.000 kuratierten Java-/Python-Paketen, einschließlich ML-/KI-Projekten wie TensorFlow
Video | 20:14
Risiken von Open-Source-Abhängigkeiten in Ihrer Softwarelieferkette verwalten
Vertrauen in kritische Abhängigkeiten aufbauen
Abhängigkeiten festlegen
SLSA-2-konforme Builds
Pakete werden mit Cloud Build erstellt, einschließlich eines Nachweises zur SLSA-Compliance. Wir bieten drei Ebenen der Paketgarantie: Ebene 1, die von Google erstellt und signiert wurde, Stufe 2, sicher aus geprüften Quellen erstellt und für alle vorübergehenden Abhängigkeiten bestätigt und Stufe 3, einschließlich des vorübergehenden Schließens aller Abhängigkeiten und kontinuierlicher Prüfung und Fuzzing.
Angereicherte Metadaten in Standardformaten
SBOMs für jedes Paket enthalten angereicherte Metadaten wie Cloud Build, Container Analysis, Daten zum Paketzustand und zu Sicherheitslücken, die in den SPDX- und VEX-Formaten bereitgestellt werden.
Fuzzing- und Sicherheitslückentests
Pakete enthalten OSV-Daten und werden regelmäßig gescannt, analysiert und einem Fuzz-Test auf Sicherheitslücken unterzogen.
Überprüfbare Integrität und Herkunft
Pakete und Metadaten enthalten eine End-to-End-Herkunft, wie die Pakete erstellt und getestet wurden.
Sicherer Vertrieb
Signierte Versionen der Pakete und ihre Metadaten werden aus einer von Google verwalteten, gesicherten und geschützten Artifact Registry verteilt
Fortlaufende Portfolioerweiterung
Auf der Grundlage der Open-Source-Projekte, die unsere Kunden betreffen, werden fortlaufend neue Pakete hinzugefügt.
Weitere Informationen
Leitfäden zur Assured Open-Source-Software
Eine kurze Einführung in die Verwendung von Assured OSS-Paketen und Informationen zum Ausführen bestimmter Aufgaben.Software Delivery Shield
Mit unserer vollständig verwalteten End-to-End-Lösung können Sie die Sicherheit der Softwarelieferkette im gesamten SDLC verbessern – von der Entwicklung und Bereitstellung über CI/CD bis hin zu Laufzeiten.Softwarelieferkette schützen
Lernen Sie Best Practices kennen, mit denen Sie Ihre Software prozess- und systemübergreifend in Ihrer Softwarelieferkette schützen können.Ein Linkswechsel bei der Sicherheit: Sicherung von Softwarelieferketten
Lernen Sie die Prozesse, Tools, Praktiken und Techniken kennen, die das Vertrauen in den SDLC stärken, indem Sie Sicherheitsrisiken minimieren.Haben Sie noch Fragen?
Benötigen Sie weitere Hilfe? Setzen Sie sich mit uns in Verbindung.