पैकेज को Cloud Build के साथ बनाया जाता है. इसमें, इस बात की पुष्टि करने के सबूत शामिल हैं कि SLSA का पालन किया जा रहा है. हम पैकेज अश्योरेंस के तीन लेवल देते हैं: लेवल 1, Google ने बनाया और हस्ताक्षर किया है, लेवल 2, पुष्टि किए गए स्रोतों से सुरक्षित तरीके से बनाया गया है, और सभी ट्रांज़िटिव डिपेंडेंसी से प्रमाणित किया गया है, और लेवल 3 शामिल है, जिसमें सभी डिपेंडेंसी का ट्रांज़िटिव बंद होना और लगातार स्कैन किया गया है.

हर पैकेज के लिए SBOM के साथ बेहतर मेटाडेटा मिलता है. इसमें Cloud Build, कंटेनर विश्लेषण, पैकेज की स्थिति, और जोखिम की आशंका से जुड़ा डेटा शामिल है, जो SPDX और VEX फ़ॉर्मैट में दिया जाता है.

पैकेज में ओएसवी डेटा शामिल होता है. साथ ही, जोखिम की आशंका का पता लगाने के लिए, इन्हें नियमित तौर पर स्कैन किया जाता है. साथ ही, इनका विश्लेषण किया जाता है और इन्हें फ़ज़-टेस्ट किया जाता है.

पैकेज और मेटाडेटा में, इस बात की पूरी जानकारी होती है कि पैकेज कैसे बनाए गए हैं और उनकी जांच कैसे की गई है

पैकेज के हस्ताक्षर वाले वर्शन और उनका मेटाडेटा, Google से मैनेज की जाने वाली और सुरक्षित आर्टफ़ैक्ट रजिस्ट्री से डिस्ट्रिब्यूट किया जाता है

हमारे ग्राहकों पर असर डालने वाले ओपन सोर्स प्रोजेक्ट के आधार पर, नए पैकेज लगातार जोड़े जाते हैं.