Assured OSS
신뢰할 수 있는 소스로서
오픈소스 소프트웨어 패키지를 설치할 수 있습니다.
Google에서 보호하고 사용하는 자체 개발자 워크플로에 사용되는 것과 동일한 신뢰할 수 있는 오픈소스 소프트웨어 (OSS) 패키지를 통합하여 소프트웨어 공급망의 보안을 강화하세요.
-
신뢰할 수 있고 알려진 공급업체에서 OSS 패키지를 받습니다.
-
Assured SBOM의 재료를 업계 표준 형식으로 자세히 알아보세요.
-
위험 감소 및 Google에서 패키지의 취약점을 적극적으로 찾아 해결
-
서명된 변조 탐지 가능 출처를 통해 패키지의 무결성에 대한 신뢰도 향상
-
TensorFlow와 같은 ML/AI 프로젝트를 포함하여 1,000개 이상의 선별된 자바/Python 패키지 중에서 선택
동영상 | 20:14
소프트웨어 공급망의 오픈소스 종속 항목에 대한 위험 관리
중요한 종속 항목에 대한 신뢰 구축
종속 항목 제어
SLSA-2 규정을 준수하는 빌드
패키지는 확인 가능한 SLSA 규정 준수의 증거를 포함하여 Cloud Build로 빌드됩니다. Google에서는 1단계, 즉 Google에서 빌드하고 서명한 등급 2, 검증된 소스에서 안전하게 빌드, 모든 전이 종속 항목 증명, 3단계(모든 종속 항목의 전이적 종료, 지속적으로 스캔, 퍼징됨) 등 3가지 수준의 보증을 제공합니다.
표준 형식의 보강된 메타데이터
각 패키지의 SBOM에는 SPDX 및 VEX 형식으로 제공되는 Cloud Build, 컨테이너 분석, 패키지 상태, 취약점 영향 데이터 등 다양한 메타데이터가 포함됩니다.
퍼징 및 취약점 테스트
패키지에는 OSV 데이터가 포함되며 정기적으로 스캔, 분석, 퍼징 테스트를 통해 취약점이 있는지 확인합니다.
검증 가능한 무결성 및 출처
패키지 및 메타데이터에는 패키지 빌드 및 테스트 방식의 엔드 투 엔드 출처가 포함됩니다.
안전한 배포
서명된 버전의 패키지 및 메타데이터는 Google이 관리하고 안전하게 보호하는 Artifact Registry에서 배포됩니다.
지속적인 포트폴리오 확장
고객에게 영향을 미치는 오픈소스 프로젝트를 기반으로 새 패키지가 지속적으로 추가됩니다.
자세히 알아보기
Assured Open Source Software 가이드
Assured OSS 패키지 사용에 대해 간단히 알아보고 특정 작업을 완료하는 방법을 알아보세요.Software Delivery Shield
Google의 완전 관리형 엔드 투 엔드 솔루션을 사용해 개발, 공급, CI/CD부터 런타임까지 전체 SDLC에서 소프트웨어 공급망 보안을 강화하세요.소프트웨어 공급망 보호
소프트웨어 공급망의 프로세스와 시스템에서 소프트웨어를 보호하는 데 도움이 되는 권장사항을 알아보세요.보안 강화: 소프트웨어 공급망 보호
보안 위험에 대한 우려를 완화하여 SDLC에 대한 신뢰도를 높이는 프로세스, 도구, 관행 및 기법을 이해합니다.궁금하신 사항이 더 있나요?
다른 도움이 필요하신가요? 문의하기