建立对关键依赖项的信任
控制依赖项
符合 SLSA-2 的 build
软件包是基于 Cloud Build 构建的,包括可验证的 SLSA 合规性证据。我们提供三个级别的软件包保证:第 1 级、由 Google 构建和签名;第 2 级、基于经过审核的资源安全地构建,以及通过所有传递依赖项的证明;第 3 级(包括所有依赖项的传递关闭,以及连续扫描和模糊测试)。
标准格式的丰富元数据
每个软件包的 SBOM 都有丰富的元数据,包括 Cloud Build 、Container Analysis、软件包运行状况和漏洞影响数据,采用 SPDX 和 VEX 格式提供。
模糊测试和漏洞测试
软件包包含 OSV 数据,并且会定期扫描、分析和进行模糊测试,以确定是否有漏洞。
可验证的完整性和出处
软件包和元数据包括端到端软件包构建和测试方式
安全分发
软件包的签名版本及其元数据是从由 Google 管理、受保护和保护的 Artifact Registry 分发的
持续拓展组合
我们会根据对客户影响的开源项目持续增加新的软件包。
了解详情
Assured Open Source Software 指南
快速了解如何使用 Assured OSS 软件包,并了解如何完成特定任务。Software Delivery Shield
利用我们的端到端端到端解决方案,从整个开发、供应、CI/CD 到运行时,在整个 SDLC 中增强软件供应链安全性。保护您的软件供应链
了解有助于保护软件供应链中流程和系统的软件最佳实践。加强安全性:保护软件供应链安全
了解相关的流程、工具、做法和技巧,通过降低安全风险担忧来提高 SDLC 信心。仍有疑问?
需要其他方面的帮助?与我们联系