Multicloud ? Oui, mais au strict minimum. Ainsi en est-il d’Assured OSS.
Google Cloud avait lancé ce service en phase expérimentale voilà près d’un an. Il vient d’en annoncer la disponibilité générale. Entre-temps, la promesse n’a pas changé. Il s’agit toujours, dans les grandes lignes, de donner accès à un catalogue de packages open source approuvés. En l’occurrence, ceux-là même que le groupe américain utilise dans ses workflows de développement.
Assured OSS englobe pour le moment deux écosystèmes : Java et Python. Le nombre de packages disponibles est de l’ordre du millier. Chacun a son SBOM, version par version, au format SPDX, avec également des informations sur les vulnérabilités (format CycloneDX). Pour les consulter, deux options. D’une, le couple gsutil/curl sur Cloud Storage. De l’autre, l’API Container Analysis (format Grafeas).
La distribution des packages se fait à partir d’Artifact Registry. Pour les récupérer, on pourra aussi bien mettre en place un dépôt virtuel qu’un miroir, ou connecter directement des outils de build. Et éventuellement s’abonner aux topics Pub/Sub pour être informé des nouvelles versions et des vulnérabilités.
Le formulaire d’activation d’Assured OSS permet de renseigner jusqu’à cinq identités. Soit des comptes de service Google Cloud, soit des identifiants de comptes AWS (un au maximum par demande). Si besoin de davantage d’identités, il faut resoumettre le formulaire.
À consulter pour davantage de contexte :
Dix pistes d’action pour sécuriser l’open source
L’open source, modèle durable ? Un sabotage et des questions
Open Source Insights : un métamoteur pour l’analyse de dépendances
5 outils open source de threat intelligence
Photo d’illustration © maciek905 – Adobe Stock
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…