Google Cloud анонсировала новый инструмент безопасности программного обеспечения с открытым исходным кодом, направленный на повышение безопасности цепочек поставок программного обеспечения.
Новое Assured Open Source Software (OSS) направлено на то, чтобы позволить предприятиям и государственным пользователям программного обеспечения с открытым исходным кодом интегрировать те же пакеты безопасности, которые использует Google, в свои собственные рабочие процессы разработки.
Цепочки поставок программного обеспечения, которые часто полагаются на открытый исходный код, чтобы оставаться гибкими и настраиваемыми, стали популярными объектами кибератак, поскольку хакеры стремятся атаковать отрасли всех типов.
Что стоит за ходом?
Этот шаг был предпринят после многочисленных громких инцидентов с безопасностью открытого исходного кода, включая уязвимости, связанные с Log4j и Spring4shell.
Google присоединилась к OpenSSF и Linux Foundation на встрече, посвященной продвижению инициатив по безопасности программного обеспечения с открытым исходным кодом, обсуждавшихся на недавнем саммите Белого дома по безопасности с открытым исходным кодом.
Google заявляет, что пакеты, выбранные службой Assured OSS, будут периодически сканироваться, анализироваться и оцениваться на наличие уязвимостей и будут иметь соответствующие обширные метаданные, включающие данные сканирования контейнеров/артефактов Google.
Все пакеты, включенные в новый инструмент, будут созданы с помощью Google Cloud Build и будут включать доказательства поддающегося проверке соответствия SLSA.
Пакеты будут распространяться из безопасного, защищенного Google реестра артефактов, а предварительная версия Assured OSS ожидается в третьем квартале 2022 года.
В Google отметили, что постоянно сканируют 550 наиболее часто используемых проектов с открытым исходным кодом и утверждают, что по состоянию на январь 36 года обнаружили более 000 2022 уязвимостей.
Кроме того, Google также объявил о партнерстве с платформой безопасности израильского разработчика SNYK, а это означает, что Assured OSS будет изначально интегрирован в решения Snyk, чтобы совместные клиенты могли использовать их везде, где они разрабатывают код.
Кроме того, партнерство также означает, что уязвимости Snyk, триггерные действия и рекомендации по устранению будут доступны общим клиентам в рамках жизненного цикла безопасности и разработки программного обеспечения Google Cloud.
Проблемы безопасности не помешали программному обеспечению с открытым исходным кодом привлечь интерес разработчиков по всему миру.
Опрос разработчиков приложений, проведенный Instacluster, показал, что 45% респондентов признают потенциал программного обеспечения с открытым исходным кодом с точки зрения снижения затрат, а 38% признают его потенциал с точки зрения возможности более легкого переноса кода.