Google Cloud, yazılım tedarik zincirleri arasında güvenliği artırmayı amaçladığı için yeni bir açık kaynaklı yazılım güvenlik aracı duyurdu.
Yeni Assured Open Source Software (OSS), kurumsal ve kamu sektörü açık kaynaklı yazılım kullanıcılarının, Google’ın kullandığı güvenlik paketlerini kendi geliştirici iş akışlarına dahil etmelerini sağlamayı hedefliyor.
Esnek ve özelleştirilebilir kalmak için genellikle açık kaynak koduna dayanan yazılım tedarik zincirleri, bilgisayar korsanlarının her türlü endüstriyi hedeflediği için siber saldırılar için popüler hedefler haline geldi.
Hareketin arkasında ne var?
Hareket, Log4j ve Spring4shell ile ilgili güvenlik açıkları da dahil olmak üzere çok sayıda yüksek profilli açık kaynak güvenlik olayının ardından geldi.
Google katıldı OpenSSF ve Linux Vakfı, yakın zamanda tartışılan açık kaynaklı yazılım güvenliği girişimlerini ilerletmek için bir toplantı için Açık Kaynak Güvenliği Üzerine Beyaz Saray Zirvesi.
Google, Assured OSS hizmeti tarafından hazırlanan paketlerin düzenli olarak taranacağını, analiz edileceğini ve güvenlik açıkları için bulanık testlerden geçirileceğini ve Google’ın verilerini içeren ilgili zenginleştirilmiş meta verilere sahip olacağını söylüyor. Konteyner/Yapı Analizi veri.
Yeni araca dahil edilen tüm paketler, Google’ın Bulut Oluşturma ve doğrulanabilir SLSA uyumluluğunun kanıtlarını içerecektir.
Paketler bir Artefakt Kaydı Google tarafından güvence altına alınan ve korunan Assured OSS ile 2022’nin 3. çeyreğinde önizlemeye girmesi bekleniyor.
Google, en sık kullanılan açık kaynak projelerinden 550’sini sürekli olarak taradığını vurguladı ve Ocak 2022 itibariyle 36.000’den fazla güvenlik açığı bulduğunu söyledi.
Ayrıca Google, İsrailli geliştirici güvenlik platformu SNYK ile ortaklığını duyurdu; bu, Assured OSS’nin ortak müşterilerin kod geliştirdikleri her yerde kullanmaları için Snyk çözümlerine yerel olarak entegre edileceği anlamına geliyor.
Ayrıca ortaklık, Snyk güvenlik açıklarının, tetikleyici eylemlerin ve düzeltme önerilerinin Google Cloud güvenlik ve yazılım geliştirme yaşam döngüsü içindeki ortak müşterilere sunulacağı anlamına da gelir.
Güvenlik sorunları, her yerde geliştiricilerin ilgisini çeken açık kaynaklı yazılımları durdurmadı.
Instacluster tarafından uygulama geliştiricileri arasında yapılan bir anket, yanıt verenlerin %45’inin açık kaynaklı yazılımın maliyetleri düşürme potansiyelini kabul ettiğini, %38’inin ise kodu daha kolay taşıma potansiyelini kabul ettiğini buldu.
