Google Cloud ha introdotto un nuovo strumento di sicurezza del software open source nel tentativo di migliorare la sicurezza della catena di approvvigionamento del software. La nuova iniziativa Assured Open Source Software (OSS) mira a consentire agli utenti dell’industria e del settore pubblico di software open source di incorporare gli stessi pacchetti di sicurezza utilizzati da Google nei flussi di lavoro degli sviluppatori.
Poiché gli hacker cercano di prendere di mira settori di ogni tipo, le catene di fornitura del software, che spesso si affidano al codice open source per rimanere flessibili e adattabili, sono diventate bersagli allettanti per gli attacchi informatici.
La decisione segue una serie di incidenti di sicurezza open source di alto profilo, comprese le vulnerabilità in Log4j e Spring4shell. Google ha partecipato a un incontro con OpenSSF e Linux Foundation per promuovere gli obiettivi di sicurezza del software open source menzionati al recente vertice della Casa Bianca sulla sicurezza open source.
Secondo Google, i pacchetti curati dal servizio Assured OSS verranno scansionati, analizzati e sottoposti a test per le vulnerabilità su base regolare e avranno associati metadati arricchiti che includono i dati di Google Container/Artifact Analysis. Tutti i pacchetti forniti nel nuovo strumento verranno prodotti con Google Cloud Build e includeranno prove di conformità SLSA verificate. I pacchetti saranno distribuiti attraverso un registro protetto da Google.
Google ha dichiarato di analizzare continuamente 550 dei più popolari progetti open source e afferma di aver scoperto oltre 36.000 vulnerabilità a gennaio 2022. Inoltre, Google ha annunciato una cooperazione con la piattaforma di sicurezza per sviluppatori israeliana SNYK, il che implica che Assured OSS sarà integrato in modo nativo in Soluzioni Snyk per i clienti comuni da utilizzare ovunque producano codice.