Cloud Assured OSS

بسته‌ها با Cloud Build ساخته می‌شوند، از جمله شواهدی مبنی بر انطباق با SLSA قابل تأیید. ما سه سطح تضمین بسته را ارائه می‌دهیم: سطح 1، ساخته شده و امضا شده توسط Google، سطح 2، ساخته شده ایمن از منابع بررسی‌شده، و تأیید شده برای همه وابستگی‌های گذرا، و سطح 3، از جمله بسته شدن موقت همه وابستگی‌ها و به‌طور مداوم اسکن و فاز شده است. بسته‌ها با Cloud Build ساخته می‌شوند، از جمله شواهدی مبنی بر انطباق با SLSA قابل تأیید. ما سه سطح تضمین بسته را ارائه می دهیم: سطح 1، ساخته شده و امضا شده توسط Google، سطح 2، ساخته شده ایمن از منابع بررسی شده، و تأیید شده برای همه وابستگی های گذرا، و سطح 3، از جمله بسته شدن موقت همه وابستگی ها و به طور مداوم اسکن و فاز شده است.

SBOM برای هر بسته دارای ابرداده غنی شده از جمله ساخت ابر، تجزیه و تحلیل کانتینر ، سلامت بسته، و داده‌های تاثیر آسیب‌پذیری است که در قالب‌های SPDX و VEX ارائه شده است. داده های تاثیر آسیب پذیری، ارائه شده در فرمت های SPDX و VEX.

بسته‌ها شامل داده‌های OSV هستند و به‌طور منظم برای آسیب‌پذیری‌ها اسکن، تجزیه و تحلیل و آزمایش فازی می‌شوند.

بسته‌ها و ابرداده‌ها شامل منشأ سرتاسری نحوه ساخت و آزمایش بسته‌ها می‌شوند

نسخه‌های امضا شده بسته‌ها و ابرداده‌های آن‌ها از یک رجیستری مصنوع تحت مدیریت، ایمن و محافظت‌شده توسط Google توزیع می‌شوند، نسخه‌های امضاشده بسته‌ها و ابرداده‌های آن‌ها از یک رجیستری مصنوع تحت مدیریت، ایمن و محافظت‌شده توسط Google توزیع می‌شوند.

بسته های جدید بر اساس پروژه های منبع باز که بر مشتریان ما تأثیر می گذارد به طور مداوم اضافه می شوند.