החבילות נוצרות באמצעות Cloud Build, כולל הוכחה לתאימות ל-SLSA לאימות. אנחנו מספקים שלוש רמות של הבטחת חבילות: רמה 1, בנייה וחתימה על ידי Google, רמה 2, בנייה מאובטחת ממקורות שנבדקו ואימות לכל התלות במעבר, ורמה 3, כולל סגירה חולפת של כל יחסי התלות, וסריקה רציפה.

SBOM לכל חבילה מגיע עם מטא-נתונים עשירים, כולל Cloud Build, Container Container (ניתוח קונטיינרים), תקינות האריזה ונתוני פגיעוּת של פרצות אבטחה, המסופקים בפורמטים SPDX ו-VEX.

החבילות כוללות נתוני OSV, והן נסרקות, מנותחות ונבדקות באופן קבוע לאיתור נקודות חולשה.

חבילות ומטא-נתונים כוללים מקור מקצה לקצה לאופן שבו החבילות נבנו ונבדקו

הגרסאות החתומות של החבילות והמטא-נתונים שלהן מופצות מ-Artifact Registry, מאובטח, ומוגן של Google

ההוספה של חבילות חדשות מתבצעת באופן קבוע בהתאם לפרויקטים של הקוד הפתוח שמשפיעים על הלקוחות שלנו.