Assured OSS
信頼できるソース(オープンソース ソフトウェア パッケージ用の
)
Google がセキュリティを確保して使用している信頼できるオープンソース ソフトウェア(OSS)パッケージを自社のデベロッパー ワークフローに組み込むことで、ソフトウェア サプライ チェーンのセキュリティを強化できます。
-
信頼できる既知のサプライヤーから OSS パッケージを入手します
-
Assured SBOM の構成要素を詳しく把握し、業界標準の形式で提供
-
パッケージ内の脆弱性を Google が積極的に検出して修正することでリスクを軽減し、メリットをもたらす
-
改ざん履歴がないことを示す署名済みの来歴により、パッケージの完全性の信頼性を高める
-
TensorFlow などの ML/AI プロジェクトを含む 1,000 以上の厳選された Java/Python パッケージから選択
動画 | 20:14
ソフトウェア サプライ チェーンのオープンソース依存関係におけるリスクの管理
重要な依存関係に対する信頼を構築する
依存関係を管理する
SLSA-2 準拠のビルド
パッケージは Cloud Build でビルドされます。これには、SLSA への準拠の検証可能な証拠も含まれます。Google は、3 つのパッケージ保証を提供します。レベル 1 は Google が構築と署名をし、レベル 2 は検証済みのソースからビルドされたもので、すべての推移的な依存関係を証明します。レベル 3 はすべての依存関係を推移的に閉鎖し、継続的にスキャンしてファズで行われます。
標準形式の拡充されたメタデータ
各パッケージの SBOM には、Cloud Build、 Container Analysis、パッケージの状態、脆弱性の影響データなど、SPDX と VEX 形式のメタデータが拡充されています。
ファズテストと脆弱性のテスト
パッケージには OSV データが含まれており、脆弱性がないか定期的にスキャン、分析、ファズテストが行われます。
検証可能な整合性と来歴
パッケージとメタデータには、パッケージがどのようにビルドおよびテストされたかを示すエンドツーエンドの来歴が含まれる
安全な配信
パッケージの署名済みバージョンとそのメタデータが、Google が管理、保護、保護された Artifact Registry から配布される。
ポートフォリオの継続的な拡大
新しいパッケージは、お客様に影響を与えるオープンソース プロジェクトに基づいて継続的に追加されています。
詳細
Assured Open Source Software ガイド
Assured OSS パッケージの使用に関する概要と、特定のタスクを行う方法を学びます。ソフトウェア デリバリー シールド
Google のフルマネージドのエンドツーエンド ソリューションにより、開発、サプライ、CI/CD からランタイムまで、SDLC 全体にわたってソフトウェア サプライ チェーンのセキュリティを強化します。ソフトウェア サプライ チェーンを保護する
ソフトウェア サプライ チェーンのプロセスとシステム全体でソフトウェアを保護する際に役立つベスト プラクティスを学びます。セキュリティのシフトレフト: ソフトウェア サプライ チェーンの保護
セキュリティ リスクの懸念を軽減することで SDLC への信頼を高めるプロセス、ツール、プラクティス、手法について理解します。ご不明な点がある場合
他にご不明点がある場合は、お問い合わせ