Multicloud ? Oui, mais au strict minimum. Ainsi en est-il d’Assured OSS.
Google Cloud avait lancé ce service en phase expérimentale voilà près d’un an. Il vient d’en annoncer la disponibilité générale. Entre-temps, la promesse n’a pas changé. Il s’agit toujours, dans les grandes lignes, de donner accès à un catalogue de packages open source approuvés. En l’occurrence, ceux-là même que le groupe américain utilise dans ses workflows de développement.
Assured OSS englobe pour le moment deux écosystèmes : Java et Python. Le nombre de packages disponibles est de l’ordre du millier. Chacun a son SBOM, version par version, au format SPDX, avec également des informations sur les vulnérabilités (format CycloneDX). Pour les consulter, deux options. D’une, le couple gsutil/curl sur Cloud Storage. De l’autre, l’API Container Analysis (format Grafeas).
La distribution des packages se fait à partir d’Artifact Registry. Pour les récupérer, on pourra aussi bien mettre en place un dépôt virtuel qu’un miroir, ou connecter directement des outils de build. Et éventuellement s’abonner aux topics Pub/Sub pour être informé des nouvelles versions et des vulnérabilités.
Le formulaire d’activation d’Assured OSS permet de renseigner jusqu’à cinq identités. Soit des comptes de service Google Cloud, soit des identifiants de comptes AWS (un au maximum par demande). Si besoin de davantage d’identités, il faut resoumettre le formulaire.
À consulter pour davantage de contexte :
Dix pistes d’action pour sécuriser l’open source
L’open source, modèle durable ? Un sabotage et des questions
Open Source Insights : un métamoteur pour l’analyse de dépendances
5 outils open source de threat intelligence
Photo d’illustration © maciek905 – Adobe Stock
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…