O software de código aberto Assured (Assured OSS) permite melhorar a segurança do código usando pacotes do OSS que o Google usa nos próprios fluxos de trabalho do desenvolvedor. Ao usar o Assured OSS, seus desenvolvedores podem aproveitar a experiência e a experiência em segurança que o Google aplica para proteger as próprias dependências de código aberto.
Ao integrar o Assured OSS ao Security Command Center, você pode fazer o seguinte:
- Escolha entre mais de 3.700 pacotes Java e Python mais conhecidos e selecionados, incluindo projetos comuns de machine learning e inteligência artificial, como TensorFlow, Pandas e Scikit-learn.
- Configure um proxy seguro para fazer o download de todos os pacotes Java, Python e JavaScript com atestados do Assured OSS, tornando o Google um fornecedor conhecido e confiável.
- Use SBOMs e VEX no Assured OSS fornecidos nos formatos padrão do setor, como SPDX e CycloneDX, para saber mais sobre seus ingredientes.
- aumentar a confiança na integridade dos pacotes que você está usando por meio de uma procedência assinada e inviolável do Google.
- Reduzir o risco de segurança à medida que o Google verifica, encontra e corrige ativamente novas vulnerabilidades em pacotes selecionados.
Antes de começar
Conclua estas tarefas antes de finalizar as restantes nesta página.
Ativar o nível Enterprise do Security Command Center
Verifique se o nível Enterprise do Security Command Center está ativado no nível da organização e se você concluiu as seis primeiras etapas no guia de configuração.
Configurar permissões no nível da organização
É necessário configurar as permissões no nível da organização e do projeto.
-
Verifique se você tem os seguintes papéis na organização: Security Center Admin, Organization Admin
Verificar os papéis
-
No console do Google Cloud, abra a página IAM.
Acessar IAM - Selecionar uma organização.
-
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
- Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
-
No console do Google Cloud, abra a página IAM.
Acesse o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
- No campo Novos participantes, digite seu endereço de e-mail.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Save.
-
Configurar permissões no nível do projeto
-
Verifique se você tem os seguintes papéis no projeto: Service Usage Admin, Service Account Admin, Project IAM Admin
Verificar os papéis
-
No console do Google Cloud, abra a página IAM.
Acessar IAM - Selecionar um projeto.
-
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
- Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
-
No console do Google Cloud, abra a página IAM.
Acesse o IAM - Selecionar um projeto.
- Clique em CONCEDER ACESSO.
- No campo Novos participantes, digite seu endereço de e-mail.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Save.
-
Configurar a Google Cloud CLI
É possível usar as amostras da CLI do gcloud nesta página de um dos seguintes ambientes de desenvolvimento:
-
Cloud Shell: para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell.
Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.
-
Shell local: para usar a CLI da gcloud em um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.
Configurar o Assured OSS
Console
No console do Google Cloud, acesse a página Visão geral de riscos do Security Command Center.
Verifique se você está visualizando a organização em que ativou o nível Security Command Center Enterprise.
Clique em Ver o guia de configuração.
Clique em Configurar a segurança do código.
Selecione uma nova conta de serviço ou escolha as contas de serviço atuais a que você quer adicionar as permissões do Assured Open Source Software.
Selecione o projeto do Google Cloud em que você quer localizar os recursos do Assured OSS.
Clique em Configurar Assured OSS.
O processo de configuração conclui automaticamente o seguinte:
- Se selecionado, cria a nova conta de serviço
assuredoss@PROJECT_ID.gservicesaccount.com
. - Atribui o papel de Usuário do Assured OSS à conta de serviço designada que vai ser usada com o Assured OSS.
- Atribui o papel de administrador do Assured OSS à conta de usuário conectada para que a conta possa configurar o serviço.
- Ativa a API Assured Open Source Software e, se ainda não estiver ativada, a API Artifact Registry.
- Configura o serviço de proxy do Assured OSS em uma instância do Artifact Registry no projeto selecionado. Um repositório é provisionado para cada linguagem (Java, Python e JavaScript). Esses repositórios podem extrair automaticamente pacotes do portfólio selecionado. Se um pacote não estiver disponível como parte do portfólio selecionado, os repositórios vão redirecionar a solicitação para os repositórios canônicos. O serviço de proxy oferece suporte apenas à região dos EUA.
- Concede a você e à conta de serviço permissões para acessar metadados e notificações de pacote de projetos do Google.
- Se selecionado, cria a nova conta de serviço
Crie uma chave de conta de serviço para cada conta de serviço do Assured OSS designada e faça o download da chave no formato JSON.
Na linha de comando da máquina local, execute o seguinte comando no arquivo de chave transferido por download para conseguir a string codificada em base64:
base64 KEY_FILENAME.json
Substitua
KEY_FILENAME.json
pelo nome da chave da conta de serviço que você transferiu por download.Você precisa da string codificada em base64 ao configurar um repositório remoto para o Assured OSS.
Para fazer o download dos pacotes, use os endpoints que o Assured OSS provisiona para cada linguagem. Anote esses endpoints para uso posterior.
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID
/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID
/assuredoss-javascript
Substitua
PROJECT_ID
pelo ID do projeto que você selecionou ao configurar o Assured OSS.- Java:
Clique em Próxima. Configure o Assured OSS com o gerenciador de repositório de artefatos da sua organização, como o JFrog Artifactory ou o Sonatype Nexus.
gcloud
Autentique-se no Google Cloud com uma conta de usuário que você quer usar para ativar o Assured OSS:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login
Procure o projeto em que você quer localizar os recursos do Assured OSS:
gcloud alpha projects search --query="displayName=PROJECT_NAME"
Substitua
PROJECT_NAME
pelo nome do projeto.Defina o projeto em que você quer localizar os recursos do Assured OSS:
gcloud config set project PROJECT_ID
Substitua
PROJECT_ID
pelo identificador do projeto.Conceda papéis à conta de usuário para configurar o Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:[email protected] \ --role=roles/assuredoss.admin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:[email protected] \ --role=roles/serviceusage.serviceUsageAdmin gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:[email protected] \ --role=roles/iam.serviceAccountAdmin
Em que
[email protected]
é o endereço de e-mail da sua conta de usuário.Ativar o Assured OSS no projeto. A ativação do OSS Assured também ativa a API Artifact Registry.
gcloud services enable assuredoss.googleapis.com
Para criar uma nova conta de serviço para o Assured OSS em vez de usar contas de serviço atuais, faça o seguinte:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="Service account for using Assured OSS" --display-name="Assured OSS service account"
Substitua
SERVICE_ACCOUNT_NAME
pelo nome da conta de serviço (por exemplo,assuredoss
).Configure as contas de serviço para o Assured OSS:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/assuredoss.user
Substitua:
SERVICE_ACCOUNT_NAME
: o nome da conta de serviço (por exemplo,assuredoss
).PROJECT_ID
: o identificador do projeto.
Configure o serviço de proxy do Assured OSS em uma instância do Artifact Registry criando repositórios do Assured OSS. É preciso criar repositórios para todas as linguagens. O serviço de proxy Assured OSS que provisiona os repositórios é compatível apenas com a região dos EUA.
alias gcurlj='curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -X' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-java -d '{"format": "MAVEN", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-javascript -d '{"format": "NPM", "mode": "AOSS_REPOSITORY"}' gcurlj POST https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories\?repositoryId\=assuredoss-python -d '{"format": "PYTHON", "mode": "AOSS_REPOSITORY"}'
Substitua
PROJECT_ID
pelo ID do projeto que você selecionou ao configurar o Assured OSS.Esses repositórios podem extrair automaticamente pacotes do portfólio selecionado. Se um pacote não estiver disponível como parte do portfólio selecionado, os repositórios redirecionarão a solicitação para os repositórios canônicos.
Crie uma chave de conta de serviço para cada conta de serviço do Assured OSS e faça o download dela no formato JSON.
Na linha de comando, execute o seguinte no arquivo de chave salvo para conseguir a string codificada em base64:
base64 KEY_FILENAME.json
Substitua
KEY_FILENAME.json
pelo nome da chave da conta de serviço que você transferiu por download.Você precisa da string codificada em base64 ao configurar um repositório remoto para o Assured OSS.
Para fazer o download dos pacotes, use os endpoints provisionados pelo Assured OSS para cada idioma. Anote esses endpoints:
- Java:
https://us-maven.pkg.dev/PROJECT_ID/assuredoss-java
- Python:
https://us-python.pkg.dev/
PROJECT_ID
/assuredoss-python - JavaScript:
https://us-npm.pkg.dev/
PROJECT_ID
/assuredoss-javascript
Substitua
PROJECT_ID
pelo ID do projeto que você selecionou ao configurar o Assured OSS.- Java:
Configure o Assured OSS para fazer o download de pacotes com o gerenciador de repositório de artefatos da sua organização, como o JFrog Artifactory ou o Sonatype Nexus.
Se quiser, visualize os pacotes Java, Python e JavaScript disponíveis:
gcloud auth revoke gcloud auth application-default revoke gcloud auth login --cred-file=KEY_FILENAME.json
Substitua
KEY_FILENAME.json
pelo nome da chave da conta de serviço que você transferiu por download.export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILENAME.json
Substitua
KEY_FILENAME.json
pelo nome da chave da conta de serviço que você transferiu por download.gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-java/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-python/packages" gcurlj GET "https://artifactregistry.googleapis.com/v1/projects/PROJECT_ID/locations/us/repositories/assuredoss-javascript/packages"
Substitua
PROJECT_ID
pelo ID do projeto que você selecionou ao configurar o Assured OSS.
A seguir
- Validar sua conexão
- Fazer o download de pacotes Java
- Fazer o download de pacotes Python
- Configure um repositório remoto
- Verificar metadados de segurança
- Configurar notificações para atualizações de pacotes