影片 | 20:14
管理軟體供應鏈中開放原始碼依附元件的風險
在關鍵依附元件中贏得信任
控管依附元件
符合 SLSA-2 規範的版本
套件是以 Cloud Build 建構而成,包括可驗證的 SLSA 法規遵循證據。我們提供三個層級的套件保證:第 1 級由 Google 建構及簽署,第 2 級安全審查,經通過來源審查,並通過所有遞移依附元件測試,第 3 級則包括所有依附元件的遞迴關閉,以及持續掃描及進行模糊處理。
以標準格式充實中繼資料
每個套件的 SBOM 均含有豐富的中繼資料,包含 Cloud Build 、Container Analysis、套件健康狀態和安全漏洞影響資料,以 SPDX 和 VEX 格式提供。
模糊與安全漏洞測試
套件隨附 OSV 資料,而且會定期掃描、分析及進行安全漏洞測試。
可驗證的完整性和來源
套件與中繼資料包括端對端如何建構和測試套件
安全發布
套件的已簽署版本及其中繼資料是由 Google 代管、保護及受保護的 Artifact Registry 發布
持續擴大規模組合
我們仍會持續新增開放原始碼專案,以影響對客戶造成影響的開放原始碼專案。
瞭解詳情
Assured Open Source Software 指南
觀看簡介,瞭解如何使用 Assured OSS 套件,以及如何完成特定工作。Software Delivery Shield
透過我們全代管的端對端解決方案,在整個 SDLC 中強化軟體供應鏈安全性,包括開發、供應、持續整合/持續推送軟體更新和執行階段。保護軟體供應鏈
瞭解在軟體供應鏈中跨程序和系統保護軟體的最佳做法。重視安全性:保護軟體供應鏈
瞭解緩解安全性風險的處理程序、工具、做法和技巧,進而加深使用者對 SDLC 的信心。還有問題嗎?
需要協助嗎?與我們聯絡