Paket premium Assured Open Source Software (Assured OSS) memungkinkan Anda meningkatkan keamanan kode dengan menggunakan paket OSS yang digunakan Google untuk alur kerja developer-nya sendiri. Saat Anda menggunakan Assured OSS, developer Anda dapat memanfaatkan keahlian dan pengalaman keamanan yang diterapkan Google untuk mengamankan dependensi open source-nya sendiri.
Saat mengintegrasikan Assured OSS dengan Security Command Center, Anda dapat melakukan hal berikut:
- Pilih dari ribuan paket Java dan Python yang diseleksi dan paling populer, termasuk project machine learning dan kecerdasan buatan umum seperti TensorFlow, Pandas, dan Scikit-learn.
- Konfigurasi proxy yang aman untuk mendownload semua paket Java, Python, dan JavaScript dengan pengesahan dari Assured OSS, sehingga menjadikan Google sebagai pemasok yang dikenal dan tepercaya.
- Gunakan SBOM dan VEX di Assured OSS yang disediakan dalam format standar industri seperti SPDX dan CycloneDX untuk mengetahui lebih lanjut bahan-bahan Anda.
- Tingkatkan kepercayaan terhadap integritas paket yang Anda gunakan melalui provenance yang ditandatangani dan jelas dari Google.
- Mengurangi risiko keamanan karena Google secara aktif memindai, menemukan, dan memperbaiki kerentanan baru dalam paket pilihan.
Sebelum memulai
Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.
Mengaktifkan paket Security Command Center Enterprise
Pastikan paket Enterprise Security Command Center diaktifkan di level organisasi dan Anda telah menyelesaikan enam langkah pertama dalam panduan penyiapan.
Menyiapkan izin di tingkat organisasi
Anda harus menyiapkan izin di tingkat organisasi dan tingkat project.
-
Make sure that you have the following role or roles on the organization: Security Center Admin, Organization Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
Menyiapkan izin di level project
-
Make sure that you have the following role or roles on the project: Service Usage Admin, Service Account Admin, Project IAM Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih project.
- Klik Berikan akses.
-
Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
Menyiapkan Google Cloud CLI
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Menyiapkan Assured OSS
Konsol
Di konsol Google Cloud , buka Panduan penyiapan Security Command Center.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Security Command Center Enterprise.
Luaskan panel Tinjau ringkasan kemampuan keamanan.
Klik Code security > Siapkan.
Di panel Siapkan keamanan kode, klik Penyiapan AOSS.
Pilih akun layanan baru atau pilih akun layanan yang sudah ada yang ingin Anda tambahi izin Assured Open Source Software.
Pilih Google Cloud project tempat Anda ingin menempatkan resource OSS Tepercaya.
Klik Siapkan Assured OSS.
Proses penyiapan akan otomatis menyelesaikan langkah-langkah berikut:
- Jika dipilih, akan membuat akun layanan baru
assuredoss@PROJECT_ID.gservicesaccount.com. - Menetapkan peran Pengguna Assured OSS ke akun layanan yang ditentukan untuk digunakan dengan Assured OSS.
- Menetapkan peran Admin OSS Tepercaya ke akun pengguna yang login sehingga akun tersebut dapat mengonfigurasi layanan.
- Mengaktifkan Assured Open Source Software API dan, jika belum diaktifkan, Artifact Registry API.
- Menyiapkan layanan proxy Assured OSS di instance Artifact Registry dalam project yang Anda pilih. Repositori disediakan untuk setiap bahasa (Java, Python, dan JavaScript). Repositori ini dapat menarik paket secara otomatis dari portofolio yang dikurasi. Jika paket tidak tersedia sebagai bagian dari portofolio pilihan, repositori akan mengalihkan permintaan ke repositori kanonis. Layanan proxy hanya mendukung wilayah Amerika Serikat.
- Memberi Anda dan akun layanan izin untuk mengakses metadata dan notifikasi paket dari project milik Google.
- Jika dipilih, akan membuat akun layanan baru
Buat kunci akun layanan untuk setiap akun layanan Assured OSS yang ditetapkan dan download kunci dalam format JSON.
Di command line di komputer lokal, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string yang dienkode base64:
base64 KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang Anda download.Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan Assured OSS untuk setiap bahasa. Catat endpoint ini untuk digunakan nanti.
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID/assuredoss-javascript
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.- Java:
Klik Berikutnya. Konfigurasi Assured OSS dengan pengelola repositori artefak organisasi Anda seperti JFrog Artifactory atau Sonatype Nexus.
gcloud
Lakukan autentikasi ke Google Cloud dengan akun pengguna yang ingin Anda gunakan untuk mengaktifkan Assured OSS:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login
Telusuri project tempat Anda ingin menemukan resource OSS Tepercaya:
gcloud alpha projects search --query="displayName=PROJECT_NAME"
Ganti
PROJECT_NAMEdengan nama project.Tetapkan project tempat Anda ingin menempatkan resource Assured OSS:
gcloud config set project PROJECT_ID
Ganti
PROJECT_IDdengan ID project.Berikan peran ke akun pengguna untuk menyiapkan Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/assuredoss.admin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/serviceusage.serviceUsageAdmin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:email@domain.com \ --role=roles/iam.serviceAccountAdmin
Dengan
email@domain.comadalah alamat email untuk akun pengguna Anda.Aktifkan Assured OSS di project. Mengaktifkan Assured OSS juga akan mengaktifkan Artifact Registry API.
gcloud services enable assuredoss.googleapis.com
Untuk membuat akun layanan baru untuk Assured OSS, bukan menggunakan akun layanan yang ada, selesaikan langkah-langkah berikut:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="Service account for using Assured OSS" --display-name="Assured OSS service account"
Ganti
SERVICE_ACCOUNT_NAMEdengan nama akun layanan (misalnya,assuredoss).Konfigurasi akun layanan untuk Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/assuredoss.user
Ganti kode berikut:
SERVICE_ACCOUNT_NAME: nama akun layanan (misalnya,assuredoss).PROJECT_ID: ID project.
Siapkan layanan proxy Assured OSS di instance Artifact Registry dengan membuat repositori Assured OSS. Anda harus membuat repositori untuk semua bahasa. Layanan proxy Assured OSS yang menyediakan repositori hanya mendukung wilayah AS.
alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.Repositori ini dapat otomatis menarik paket dari portofolio yang dikurasi. Jika paket tidak tersedia sebagai bagian dari portofolio pilihan, repositori akan mengalihkan permintaan ke repositori kanonis.
Buat kunci akun layanan untuk setiap akun layanan Assured OSS dan download kunci tersebut dalam format JSON.
Di command line, jalankan perintah berikut pada file kunci yang didownload untuk mendapatkan string yang dienkode base64:
base64 KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang Anda download.Anda memerlukan string berenkode base64 saat menyiapkan repositori jarak jauh untuk Assured OSS.
Untuk mendownload paket, gunakan endpoint yang disediakan oleh Assured OSS untuk setiap bahasa. Catat endpoint berikut:
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID/assuredoss-javascript
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.- Java:
Konfigurasi Assured OSS untuk mendownload paket dengan pengelola repositori artefak organisasi Anda seperti JFrog Artifactory atau Sonatype Nexus.
Atau, lihat paket Java, Python, dan JavaScript yang tersedia:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login --cred-file=KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang Anda download.export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json
Ganti
KEY_FILENAME.jsondengan nama kunci akun layanan yang Anda download.gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"
Ganti
PROJECT_IDdengan ID project yang Anda pilih saat menyiapkan Assured OSS.
Langkah berikutnya
- Mengonfigurasi dukungan untuk Kontrol Layanan VPC
- Memvalidasi koneksi Anda
- Download paket Java
- Download paket Python
- Mengonfigurasi repositori jarak jauh
- Memverifikasi metadata keamanan
- Mengonfigurasi notifikasi untuk update paket
-
-