Assured OSS
Votre source de confiance,
pour les packages logiciels Open Source
Améliorez la sécurité de votre chaîne d'approvisionnement logicielle en intégrant les mêmes packages logiciels Open Source (OSS) de confiance que Google sécurise et utilise dans vos propres workflows de développement.
-
Obtenez vos packages OSS auprès d'un fournisseur fiable et connu
-
Obtenez plus d'informations sur vos ingrédients auprès d'Assured SBOM, fourni dans les formats standards
-
Réduisez les risques et les avantages de Google en trouvant et en corrigeant activement les failles des packages
-
Renforcez la confiance dans l'intégrité des packages grâce à une provenance inviolable signée.
-
Choisissez parmi plus de 1 000 packages Java/Python sélectionnés, y compris des projets de ML/IA comme TensorFlow
Vidéo | 20:14
Gérer les risques liés aux dépendances Open Source dans votre chaîne d'approvisionnement logicielle
Instaurez une confiance dans les dépendances critiques
Prenez le contrôle de vos dépendances
Builds conformes à la norme SLSA-2
Les packages sont compilés avec Cloud Build, y compris la preuve d'une conformité SLSA. Nous proposons trois niveaux d'assurance pour le package: le niveau 1, construit et signé par Google, le niveau 2, un système sécurisé basé sur des sources approuvées, et certifié par toutes les dépendances transitives, et le niveau 3, celui de la fermeture transitoire de toutes les dépendances, ainsi que l'analyse continue du flux.
Métadonnées enrichies dans des formats standards
Les stratégies d'enchères intelligentes pour chaque package sont enrichies de métadonnées, telles que Cloud Build , Container Analysis, l'état des packages et les données sur l'impact des failles, fournies aux formats SPDX et VEX.
Tests fuzz et de vulnérabilité
Les packages incluent des données OSV et sont régulièrement analysés, analysés et testés pour détecter les failles.
Intégrité et provenance vérifiables
Les packages et les métadonnées incluent la provenance de bout en bout du processus de création et de test des packages
Distribution sécurisée
Les versions signées des packages et de leurs métadonnées sont distribuées à partir d'Artifact Registry géré, sécurisé et protégé par Google.
Développement continu du portefeuille
De nouveaux packages sont ajoutés en continu en fonction des projets Open Source qui ont un impact sur nos clients.
En savoir plus
Guides sur le service Assured Open Source Software
Consultez une présentation rapide des packages Assured OSS et découvrez comment effectuer certaines tâches spécifiques.Software Delivery Shield
Améliorez la sécurité de la chaîne d'approvisionnement logicielle sur l'ensemble du SDLC, du développement à l'exécution, en passant par la CI/CD et les environnements d'exécution, grâce à notre solution entièrement gérée de bout en bout.Protéger votre chaîne d'approvisionnement logicielle
Découvrez les bonnes pratiques qui vous aident à protéger votre logiciel sur tous les processus et systèmes de votre chaîne d'approvisionnement logicielle.Place à la sécurité: sécuriser les chaînes d'approvisionnement logicielles
Découvrez les processus, outils, pratiques et techniques qui renforcent la confiance dans le SDLC en limitant les risques.Vous avez d'autres questions ?
Vous avez encore besoin d'aide ? Contactez-nous