بسته‌ها با Cloud Build ساخته می‌شوند، از جمله شواهدی مبنی بر انطباق با SLSA قابل تأیید. ما سه سطح تضمین بسته را ارائه می‌دهیم: سطح 1، ساخته شده و امضا شده توسط Google، سطح 2، ساخته شده ایمن از منابع بررسی‌شده، و تأیید شده برای همه وابستگی‌های گذرا، و سطح 3، از جمله بسته شدن موقت همه وابستگی‌ها و به‌طور مداوم اسکن و فاز شده است. بسته‌ها با Cloud Build ساخته می‌شوند، از جمله شواهدی مبنی بر انطباق با SLSA قابل تأیید. ما سه سطح تضمین بسته را ارائه می دهیم: سطح 1، ساخته شده و امضا شده توسط Google، سطح 2، ساخته شده ایمن از منابع بررسی شده، و تأیید شده برای همه وابستگی های گذرا، و سطح 3، از جمله بسته شدن موقت همه وابستگی ها و به طور مداوم اسکن و فاز شده است.

SBOM برای هر بسته دارای ابرداده غنی شده از جمله ساخت ابر، تجزیه و تحلیل کانتینر ، سلامت بسته، و داده‌های تاثیر آسیب‌پذیری است که در قالب‌های SPDX و VEX ارائه شده است. داده های تاثیر آسیب پذیری، ارائه شده در فرمت های SPDX و VEX.

بسته‌ها شامل داده‌های OSV هستند و به‌طور منظم برای آسیب‌پذیری‌ها اسکن، تجزیه و تحلیل و آزمایش فازی می‌شوند.

بسته‌ها و ابرداده‌ها شامل منشأ سرتاسری نحوه ساخت و آزمایش بسته‌ها می‌شوند، بسته‌ها و ابرداده‌ها شامل منشأ نهایی نحوه ساخت و آزمایش بسته‌ها هستند.

نسخه‌های امضا شده بسته‌ها و ابرداده‌های آن‌ها از یک رجیستری مصنوع تحت مدیریت، ایمن و محافظت‌شده توسط Google توزیع می‌شوند، نسخه‌های امضاشده بسته‌ها و ابرداده‌های آن‌ها از یک رجیستری مصنوع تحت مدیریت، ایمن و محافظت‌شده توسط Google توزیع می‌شوند.

بسته‌های جدید بر اساس پروژه‌های منبع باز که بر مشتریان ما تأثیر می‌گذارند، به طور مداوم اضافه می‌شوند.، بسته‌های جدید بر اساس پروژه‌های منبع باز که بر مشتریان ما تأثیر می‌گذارند، به‌طور مداوم اضافه می‌شوند.