Verifiziertes OSS
Ihre vertrauenswürdige Quelle,
für Open-Source-Softwarepakete
Sie können die Sicherheit Ihrer Softwarelieferkette erhöhen, indem Sie dieselben vertrauenswürdigen Open-Source-Softwarepakete (OSS) verwenden, die Google sichert und in Ihre eigenen Entwicklungsworkflows verwendet.
-
OSS-Pakete von einem vertrauenswürdigen und bekannten Anbieter erhalten
-
Weitere Informationen zu den Zutaten von Assured SBOMs in Branchenstandards
-
Risiken verringern und von Google profitieren, indem Sicherheitslücken in Paketen aktiv gefunden und behoben werden
-
Sie erhöhen das Vertrauen in die Integrität der Pakete, indem Sie sich nach den Kriterien der signierten, manipulationssicheren Herkunft suchen.
-
Wähle aus über 1.000 Java/Python-Paketen aus, einschließlich ML/KI-Projekten wie TensorFlow
Video | 20:14
Risiken von Open-Source-Abhängigkeiten in Ihrer Softwarelieferkette verwalten
Vertrauen in kritische Abhängigkeiten aufbauen
Kontrolle über Abhängigkeiten
SLSA-2-konforme Builds
Pakete werden mit Cloud Build erstellt, einschließlich eines Nachweises zur SLSA-Compliance. Wir bieten drei Ebenen der Paketgarantie: Ebene 1, die von Google erstellt und signiert wurde, Stufe 2, sicher aus geprüften Quellen erstellt und für alle vorübergehenden Abhängigkeiten bestätigt und Stufe 3, einschließlich des vorübergehenden Schließens aller Abhängigkeiten und kontinuierlicher Prüfung und Fuzzing.
Angereicherte Metadaten in Standardformaten
SBOMs für jedes Paket enthalten angereicherte Metadaten wie Cloud Build, Container Analysis, Daten zum Paketzustand und zu Sicherheitslücken, die in den SPDX- und VEX-Formaten bereitgestellt werden.
Fuzzing- und Sicherheitslückentests
Pakete enthalten OSV-Daten und werden regelmäßig gescannt, analysiert und einem Fuzz-Test auf Sicherheitslücken unterzogen.
Überprüfbare Integrität und Herkunft
Pakete und Metadaten umfassen eine End-to-End-Herkunft zum Erstellen und Testen der Pakete
Sicherer Vertrieb
Signierte Versionen der Pakete und ihre Metadaten werden aus einer von Google verwalteten, gesicherten und geschützten Artifact Registry verteilt
Fortlaufende Portfolioerweiterung
Wir fügen regelmäßig neue Pakete hinzu, basierend auf den Open-Source-Projekten, die sich auf unsere Kundinnen und Kunden auswirken.
Weitere Informationen
Leitfäden zur Assured Open-Source-Software
Hier erhalten Sie eine kurze Einführung in die Verwendung von Assured OSS-Paketen und erfahren, wie Sie bestimmte Aufgaben ausführen.Software Delivery Shield
Mit unserer vollständig verwalteten End-to-End-Lösung verbessern Sie die Sicherheit der Softwarelieferkette im gesamten SDLC – von der Entwicklung, der Lieferkette und CI/CD bis hin zur Laufzeit.Softwarelieferkette schützen
Hier finden Sie Best Practices zum Schutz Ihrer Software in allen Prozessen und Systemen Ihrer Softwarelieferkette.Weniger auf Sicherheit setzen: Softwarelieferketten schützen
Informieren Sie sich über die Prozesse, Tools, Praktiken und Techniken, die das Vertrauen in das SDLC erhöhen, indem Sie Sicherheitsrisiken minimieren.Haben Sie noch Fragen?
Benötigen Sie weitere Hilfe? Setzen Sie sich mit uns in Verbindung.