Cloud Assured OSS

Пакеты создаются с помощью Cloud Build , включая доказательства проверяемого соответствия требованиям SLSA . Мы предоставляем три уровня гарантии пакетов: уровень 1, созданный и подписанный Google, уровень 2, безопасный сбор из проверенных источников и подтвержденный для всех транзитивных зависимостей, и уровень 3, включая транзитивное закрытие всех зависимостей и постоянное сканирование и фаззинг. Пакеты создаются с помощью Cloud Build , включая доказательства проверяемого соответствия требованиям SLSA . Мы предоставляем три уровня гарантии пакетов: уровень 1, созданный и подписанный Google, уровень 2, безопасно созданный из проверенных источников и подтвержденный для всех транзитивных зависимостей, и уровень 3, включая транзитивное закрытие всех зависимостей и постоянное сканирование и фаззинг.

SBOM для каждого пакета поставляется с расширенными метаданными, включая Cloud Build, Container Analysis , данные о работоспособности пакета и влиянии уязвимостей, предоставленные в форматах SPDX и VEX. SBOM для каждого пакета поставляется с расширенными метаданными, включая Cloud Build, Container Analysis , состояние пакета и данные о влиянии уязвимостей, предоставляемые в форматах SPDX и VEX.

Пакеты включают данные OSV и регулярно сканируются, анализируются и тестируются на наличие уязвимостей. Пакеты включают данные OSV и регулярно сканируются, анализируются и тестируются на наличие уязвимостей.

Пакеты и метаданные включают сквозную информацию о том, как пакеты были созданы и протестированы.

Подписанные версии пакетов и их метаданные распространяются из управляемого, защищенного и защищенного реестра артефактов , управляемого Google. Подписанные версии пакетов и их метаданные распространяются из управляемого, защищенного и защищенного реестра артефактов, управляемого Google.

Новые пакеты добавляются на постоянной основе на основе проектов с открытым исходным кодом, которые влияют на наших клиентов.