Assured OSS
オープンソース ソフトウェア パッケージ用の信頼できるソース、
Google が保護して使用しているものと同じオープンソース ソフトウェア(OSS)パッケージを、独自のデベロッパー ワークフローに組み込むことで、ソフトウェア サプライ チェーンのセキュリティを改善できます。
-
信頼できる既知のサプライヤーから OSS パッケージを入手する
-
業界標準の形式で、Assured SBOM の成分を把握
-
リスクを低減し、パッケージの脆弱性を積極的に発見して修正することで利益を獲得
-
改ざんの証拠となる来歴を証明することで、パッケージの完全性に対する信頼度を高めることができます。
-
TensorFlow などの ML/AI プロジェクトを含む 1,000 以上の厳選された Java/Python パッケージから選択
動画 | 20:14
ソフトウェア サプライ チェーンのオープンソース依存関係におけるリスクの管理
重要な依存関係に対する信頼を構築する
依存関係を管理する
SLSA-2 準拠のビルド
パッケージは Cloud Build でビルドされます。これには、SLSA への準拠の検証可能な証拠も含まれます。Google は、3 つのパッケージ保証を提供します。レベル 1 は Google が構築と署名をし、レベル 2 は検証済みのソースからビルドされたもので、すべての推移的な依存関係を証明します。レベル 3 はすべての依存関係を推移的に閉鎖し、継続的にスキャンしてファズで行われます。
標準形式での拡充されたメタデータ
各パッケージの SBOM には、Cloud Build、 Container Analysis、パッケージの状態、脆弱性の影響データなど、SPDX と VEX 形式のメタデータが拡充されています。
ファジングと脆弱性のテスト
パッケージには OSV データが含まれており、脆弱性がないか定期的にスキャン、分析、ファズテストが行われます。
整合性と来歴が検証可能
パッケージとメタデータには、パッケージがどのようにビルドおよびテストされたかを示すエンドツーエンドの来歴が含まれます。
安全な配信
パッケージの署名済みバージョンとそのメタデータが、Google が管理、保護、保護された Artifact Registry から配布される。
ポートフォリオの拡大を継続的に実施
新しいパッケージは、お客様に影響するオープンソース プロジェクトに基づいて継続的に追加されています。
詳細
Assured Open Source Software ガイド
Assured OSS パッケージの使用に関する概要を学習し、特定のタスクを完了する方法を学びます。そして、ソフトウェア デリバリー シールドです。
Google のフルマネージドのエンドツーエンド ソリューションを使用して、開発、供給、CI/CD、ランタイムなど、SDLC 全体のソフトウェア サプライ チェーンのセキュリティを高めます。ソフトウェア サプライ チェーンを保護する
ソフトウェア サプライ チェーンのプロセスとシステム全体でソフトウェアを保護するためのベスト プラクティスについて学習します。セキュリティのシフトレフト: ソフトウェア サプライ チェーンの保護
セキュリティ リスクを低減して、SDLC への信頼を高めるプロセス、ツール、手法、手法を把握します。他に質問がある場合
他にご不明点がある場合は、お問い合わせ