Assured OSS
Votre source fiable,
pour les packages logiciels Open Source
Améliorez la sécurité de votre chaîne d'approvisionnement logicielle en intégrant les mêmes packages logiciels Open Source (OSS) fiables que ceux que Google sécurise et utilise dans vos workflows développeur.
-
Procurez-vous vos packages OSS auprès d'un fournisseur fiable et connu
-
Obtenez plus d'informations sur vos composants grâce aux SBOM Assured, dans des formats standards dans l'industrie
-
Réduisez les risques et profitez du fait que Google détecte et corrige activement les failles dans les packages.
-
Renforcer la confiance dans l'intégrité des packages grâce à une provenance signée et inviolable
-
Choisissez parmi plus de 1 000 packages Java/Python, y compris des projets de ML et d'IA comme TensorFlow
Vidéo | 20:14
Gérer les risques liés aux dépendances Open Source dans votre chaîne d'approvisionnement logicielle
Renforcer la confiance dans les dépendances critiques
Prenez le contrôle de vos dépendances
Builds conformes à la norme SLSA-2
Les packages sont compilés avec Cloud Build, y compris la preuve d'une conformité SLSA. Nous proposons trois niveaux d'assurance pour le package: le niveau 1, construit et signé par Google, le niveau 2, un système sécurisé basé sur des sources approuvées, et certifié par toutes les dépendances transitives, et le niveau 3, celui de la fermeture transitoire de toutes les dépendances, ainsi que l'analyse continue du flux.
Métadonnées enrichies dans des formats standards
Les stratégies d'enchères intelligentes pour chaque package sont enrichies de métadonnées, telles que Cloud Build , Container Analysis, l'état des packages et les données sur l'impact des failles, fournies aux formats SPDX et VEX.
Tests fuzz et de vulnérabilité
Les packages incluent des données OSV et sont régulièrement analysés, analysés et testés pour détecter les failles.
Intégrité et provenance vérifiables
Les packages et les métadonnées incluent la provenance de bout en bout de la manière dont les packages ont été construits et testés.
Distribution sécurisée
Les versions signées des packages et de leurs métadonnées sont distribuées à partir d'Artifact Registry géré, sécurisé et protégé par Google.
Développement continu du portefeuille
De nouveaux packages sont ajoutés en permanence en fonction des projets Open Source qui ont un impact sur nos clients.
En savoir plus
Guides sur le service Assured Open Source Software
Consultez une présentation rapide des packages Assured OSS et découvrez comment effectuer des tâches spécifiques.Software Delivery Shield
Renforcez la sécurité de la chaîne d'approvisionnement logicielle sur l'ensemble du SDLC (développement, fourniture, CI/CD, environnement d'exécution, etc.) grâce à notre solution de bout en bout entièrement gérée.Protéger votre chaîne d'approvisionnement logicielle
Découvrez les bonnes pratiques qui vous aideront à protéger vos logiciels sur l'ensemble des processus et systèmes de votre chaîne d'approvisionnement logicielle.La sécurité à gauche: sécuriser les chaînes d'approvisionnement logicielles
Comprendre les processus, outils, pratiques et techniques qui renforcent la confiance dans le SDLC en atténuant les risques de sécurité.Vous avez d'autres questions ?
Vous avez encore besoin d'aide ? Contactez-nous