建立对关键依赖项的信任
控制依赖项
符合 SLSA-2 的构建
软件包是基于 Cloud Build 构建的,包括可验证的 SLSA 合规性证据。我们提供三个级别的软件包保证:第 1 级、由 Google 构建和签名;第 2 级、基于经过审核的资源安全地构建,以及通过所有传递依赖项的证明;第 3 级(包括所有依赖项的传递关闭,以及连续扫描和模糊测试)。
以标准格式添加丰富元数据
每个软件包的 SBOM 都有丰富的元数据,包括 Cloud Build 、Container Analysis、软件包运行状况和漏洞影响数据,采用 SPDX 和 VEX 格式提供。
模糊测试和漏洞测试
软件包包含 OSV 数据,并且会定期扫描、分析和进行模糊测试,以确定是否有漏洞。
可验证的完整性和出处
软件包和元数据包含其构建和测试方式的端到端出处
安全分发
软件包的签名版本及其元数据是从由 Google 管理、受保护和保护的 Artifact Registry 分发的
持续扩展投资组合
我们会根据对客户有影响的开源项目不断添加新的软件包。
了解详情
Assured Open Source Software 指南
快速了解如何使用 Assured OSS 软件包,并了解如何完成特定任务。Software Delivery Shield
借助我们的全代管式端到端解决方案,增强整个 SDLC(从开发、供应、CI/CD 到运行时)的软件供应链安全性。保护您的软件供应链
了解有助于在软件供应链中跨进程和系统保护您的软件的最佳实践。在安全性方面向左移动:保护软件供应链安全
了解相关流程、工具、做法和技术,以便通过缓解安全风险问题来提高 SDLC 的信心。还有问题吗?
需要其他方面的帮助?与我们联系