Google jeudi annoncé la création d’une nouvelle « équipe de maintenance Open Source » pour se concentrer sur le renforcement de la sécurité des projets open source critiques.
De plus, le géant de la technologie a souligné Informations sur les sources ouvertes en tant qu’outil d’analyse des packages et de leurs graphiques de dépendance, en l’utilisant pour déterminer « si une vulnérabilité dans une dépendance peut affecter votre code ».
« Avec ces informations, les développeurs peuvent comprendre comment leur logiciel est assemblé et les conséquences des changements dans leurs dépendances », a déclaré la société.
Le développement intervient alors que la sécurité et la confiance dans l’écosystème des logiciels open source ont été de plus en plus remises en question à la suite d’une série d’attaques de la chaîne d’approvisionnement conçues pour compromettre les flux de travail des développeurs.
En décembre 2021, une faille critique dans la bibliothèque de journalisation open source Log4j omniprésente a obligé plusieurs entreprises à se démener pour corriger leurs systèmes contre les abus potentiels.
L’annonce intervient également moins de deux semaines après que l’Open Source Security Foundation (OpenSSF) a annoncé ce qu’on appelle le projet Package Analysis pour effectuer une analyse dynamique de tous les packages téléchargés sur les référentiels open source populaires.