Açık kaynak yazılım ekosistemindeki yazılım tedarik zinciri risklerini azaltmak amacıyla Google, farklı programlama dillerinde 5 milyondan fazla yazılım bileşeni hakkında bağımlılık verileri ve güvenlikle ilgili bilgiler sağlayan ücretsiz bir API hizmeti başlattı.
Saldırganlar, yazılım projelerini tehlikeye atmak için yaygın olarak kullanılan açık kaynak bileşenlerine veya bağımlılıklarına giderek daha fazla kötü amaçlı kod enjekte ediyor. Mandiant’ın M-Trends 2022 raporuna göre, tüm güvenlik ihlallerinin %17’si bir tedarik zinciri saldırısıyla başlıyor. Bu saldırı vektörü, kullanılan en yaygın ikinci yöntemdir. En yaygın olanı, koddaki güvenlik açıklarını hedefleyen açıklardan yararlanmaktır.
Ücretsiz deps.dev API’si, geliştiricilerin kullanmayı düşündükleri paketler hakkında hangi sürümlerin mevcut olduğu, kullanılan yazılım lisansının ve pakete hangi bağımlılıkların dahil olduğu gibi bilgileri bulmalarına olanak tanır. Bilgiler, Google’ın Open Source Insights ekibi tarafından toplanan güvenlik meta verilerinden gelir. Meta veriler, Go, Maven (Java), PyPI (Python), npm (JavaScript) ve Cargo (Rust) genel kayıtlarında bulunan 50 milyon sürüme sahip 5 milyon paket için birden fazla kaynaktan gelir. Meta veriler, geçişli bağımlılık grafikleri, lisans içerir. bilgileri, güvenlik danışma etkisi raporları ve OpenSSF Güvenlik Karnesi bilgileri.
Google, NuGet (.NET çerçevesi) paketleri için desteğin yol haritasında olduğunu söyledi.
Google Açık Kaynak Güvenlik Ekibi, “Yazılım tedarik zinciri güvenliği zordur, ancak bunu kolaylaştırmak hepimizin çıkarınadır,” dedi. bir blog yazısı. “Google her gün daha güvenli bir internet oluşturmak için çok çalışıyor ve tam da bunu yapmaya yardımcı olmak ve bu verileri herkes için evrensel olarak erişilebilir ve yararlı kılmak için bu API’yi yayınlamaktan gurur duyuyoruz.”
Şirketin açık kaynak yazılım güvenliğini iyileştirme çabalarının bir parçası olarak, Google Cloud ayrıca duyurdu Assured Open Source Software (Assured OSS) hizmeti için genel kullanılabilirlik Java ve Python ekosistemleri için. Assured OSS, kuruluşların Google’ın güvenliğini sağladığı ve kullandığı açık kaynak paketlerinin aynılarını kendi geliştirici iş akışlarına dahil etmesine olanak tanır. Hizmet ilk olarak Mayıs 2022’de duyurulduğunda 278 paketle kullanıma sunuldu. Artık TensorFlow, Pandas ve Scikit-learn gibi projeler de dahil olmak üzere 1.000’den fazla Java ve Python paketi içeriyor.
Birçok kuruluş, her zaman genel havuzlara bağlanmak yerine, yaygın olarak kullanılan paketlerin özel havuzlarını tutar. Bu yaklaşımın faydaları olmakla birlikte, resmi paket her değiştirildiğinde yerel depodaki paketleri düzenli olarak güncelleme sorumluluğunu kuruluşa yükler. Sonuç olarak, birçok geliştirici açık kaynak paketlerinin eski ve savunmasız sürümlerini çekiyor.
Google, güvenlik açıklarını bulmak ve düzeltmek için bu paketleri etkin bir şekilde taradığından, bu hizmeti kullanmak riski azaltmaya yardımcı olacaktır. Google Cloud’un güvenlik ve gizlilikten sorumlu grup ürün yöneticisi Andy Chang, duyuruda güvenlik açıkları düzeltildi ve “teşhir süresini ve patlama yarıçapını sınırlamak için hızlı bir şekilde yukarı akışa katkıda bulundu” diye yazdı.
Hizmet, Assured SBOM’lar (Yazılım Malzeme Listesi) sağlar, böylece kuruluşlar bu paketlere hangi bağımlılıkların dahil edildiğini bilir. Bu şekilde, bir bağımlılıkta bir güvenlik açığı ortaya çıkarsa, hizmeti kullanan kuruluşlar, bağımlılık yazılımın derinliklerinde gömülü olsa bile, etkilenip etkilenmediklerini daha kolay anlayabilir.
