Các gói được xây dựng bằng Cloud Build, bao gồm cả bằng chứng về việc tuân thủ SLSA (có thể xác minh được). Chúng tôi cung cấp ba cấp độ đảm bảo gói: cấp độ 1, được xây dựng và ký bởi Google, cấp độ 2, được xây dựng một cách an toàn từ các nguồn đã được xem xét kỹ lưỡng và được chứng thực cho tất cả các phần phụ thuộc bắc cầu và cấp độ 3, bao gồm bao gồm chuyển tiếp của tất cả các phần phụ thuộc và được quét và làm mờ liên tục.

SBOM cho mỗi gói đi kèm với siêu dữ liệu phong phú bao gồm Bản dựng trên đám mây, Phân tích vùng chứa, tình trạng gói và dữ liệu về tác động của lỗ hổng, được cung cấp ở định dạng SPDX và VEX.

Các gói bao gồm dữ liệu OSV và thường xuyên được quét, phân tích và kiểm tra mờ để tìm lỗ hổng.

Các gói và siêu dữ liệu bao gồm nguồn gốc từ đầu đến cuối về cách xây dựng và thử nghiệm gói

Phiên bản đã ký của các gói và siêu dữ liệu của gói được phân phối từ một Danh mục cấu phần phần mềm do Google quản lý, bảo vệ và bảo vệ

Chúng tôi liên tục bổ sung các gói mới dựa trên các dự án nguồn mở ảnh hưởng đến khách hàng của chúng tôi.