Assured OSS
신뢰할 수 있는
오픈소스 소프트웨어 패키지용 소스
Google이 보호하고 사용하는 것과 동일한 신뢰할 수 있는 오픈소스 소프트웨어 (OSS) 패키지를 자체 개발자 워크플로에 통합하여 소프트웨어 공급망의 보안을 개선하세요.
-
신뢰할 수 있고 잘 알려진 공급업체로부터 OSS 패키지 받기
-
업계 표준 형식으로 제공되는 Assured SBOM의 재료에 대해 자세히 알아보세요.
-
Google이 패키지의 취약점을 적극적으로 찾아 해결함으로써 위험을 줄이고 혜택을 누릴 수 있습니다.
-
서명되고 변조가 가능한 출처를 통해 패키지의 무결성에 대한 신뢰도 향상
-
TensorFlow와 같은 ML/AI 프로젝트를 포함한 1,000개 이상의 선별된 Java/Python 패키지 중에서 선택하세요.
동영상 | 20:14
소프트웨어 공급망의 오픈소스 종속 항목에 대한 위험 관리
중요한 종속 항목에 대한 신뢰 구축
종속 항목 제어
SLSA-2 규정을 준수하는 빌드
패키지는 확인 가능한 SLSA 규정 준수의 증거를 포함하여 Cloud Build로 빌드됩니다. Google에서는 1단계, 즉 Google에서 빌드하고 서명한 등급 2, 검증된 소스에서 안전하게 빌드, 모든 전이 종속 항목 증명, 3단계(모든 종속 항목의 전이적 종료, 지속적으로 스캔, 퍼징됨) 등 3가지 수준의 보증을 제공합니다.
표준 형식의 인리치드 메타데이터
각 패키지의 SBOM에는 SPDX 및 VEX 형식으로 제공되는 Cloud Build, 컨테이너 분석, 패키지 상태, 취약점 영향 데이터 등 다양한 메타데이터가 포함됩니다.
퍼징 및 취약점 테스트
패키지에는 OSV 데이터가 포함되며 정기적으로 스캔, 분석, 퍼징 테스트를 통해 취약점이 있는지 확인합니다.
검증 가능한 무결성 및 출처
패키지 및 메타데이터에는 패키지가 빌드 및 테스트된 방법에 대한 엔드 투 엔드 출처가 포함됩니다.
안전한 배포
서명된 버전의 패키지 및 메타데이터는 Google이 관리하고 안전하게 보호하는 Artifact Registry에서 배포됩니다.
지속적인 포트폴리오 확장
고객에게 영향을 미치는 오픈소스 프로젝트를 기반으로 새로운 패키지가 지속적으로 추가됩니다.
자세히 알아보기
Assured Open Source Software 가이드
Assured OSS 패키지 사용에 대한 간략한 소개를 확인하고 특정 작업을 완료하는 방법을 알아봅니다.Software Delivery Shield
Google의 완전 관리형 엔드 투 엔드 솔루션으로 개발, 공급, CI/CD부터 런타임에 이르기까지 전체 SDLC에 걸쳐 소프트웨어 공급망 보안을 강화합니다.소프트웨어 공급망 보호
소프트웨어 공급망의 프로세스와 시스템 전반에서 소프트웨어를 보호하는 데 도움이 되는 권장사항을 알아보세요.개발 초기부터 보안 문제 반영: 소프트웨어 공급망 보호
보안 위험 우려를 완화하여 SDLC에 대한 신뢰도를 높이는 프로세스, 도구, 관행, 기술을 이해합니다.궁금하신 사항이 더 있나요?
다른 도움이 필요하신가요? 문의하기