Assured OSS : un supplément multicloud pour le lancement
Disponibilité générale actée pour Assured OSS, service avec lequel Google Cloud se pose en « source de confiance » pour les packages open source. Une jonction avec AWS est établie.
Multicloud ? Oui, mais au strict minimum. Ainsi en est-il d’Assured OSS.
Google Cloud avait lancé ce service en phase expérimentale voilà près d’un an. Il vient d’en annoncer la disponibilité générale. Entre-temps, la promesse n’a pas changé. Il s’agit toujours, dans les grandes lignes, de donner accès à un catalogue de packages open source approuvés. En l’occurrence, ceux-là même que le groupe américain utilise dans ses workflows de développement.
Assured OSS englobe pour le moment deux écosystèmes : Java et Python. Le nombre de packages disponibles est de l’ordre du millier. Chacun a son SBOM, version par version, au format SPDX, avec également des informations sur les vulnérabilités (format CycloneDX). Pour les consulter, deux options. D’une, le couple gsutil/curl sur Cloud Storage. De l’autre, l’API Container Analysis (format Grafeas).
Assured OSS : une option compte AWS
La distribution des packages se fait à partir d’Artifact Registry. Pour les récupérer, on pourra aussi bien mettre en place un dépôt virtuel qu’un miroir, ou connecter directement des outils de build. Et éventuellement s’abonner aux topics Pub/Sub pour être informé des nouvelles versions et des vulnérabilités.
Le formulaire d’activation d’Assured OSS permet de renseigner jusqu’à cinq identités. Soit des comptes de service Google Cloud, soit des identifiants de comptes AWS (un au maximum par demande). Si besoin de davantage d’identités, il faut resoumettre le formulaire.
À consulter pour davantage de contexte :
Dix pistes d’action pour sécuriser l’open source
L’open source, modèle durable ? Un sabotage et des questions
Open Source Insights : un métamoteur pour l’analyse de dépendances
5 outils open source de threat intelligence
Photo d’illustration © maciek905 – Adobe Stock
