Google поможет технологиям с открытым исходным кодом бороться с кибератаками
В то время, когда кибератаки происходят все чаще, Google анонсировала новый инструмент безопасности с целью повышения безопасности программного обеспечения с открытым исходным кодом.
Гарантированное программное обеспечение с открытым исходным кодом (OSS) позволит пользователям включать собственные пакеты безопасности Google в свои рабочие процессы.
Программное обеспечение с открытым исходным кодом по-прежнему является популярной целью для атак на системы безопасности, и, как отмечает Google в своем заявлении, число кибератак, направленных на поставщиков с открытым исходным кодом, по сравнению с прошлым годом увеличилось на 650%. Поскольку цепочки поставок программного обеспечения часто используют открытый исходный код, чтобы оставаться доступными и простыми в настройке, они особенно уязвимы для подобных атак.
Google — далеко не единственная организация, которая обращает внимание на тот факт, что программное обеспечение с открытым исходным кодом, несмотря на его многочисленные преимущества, может быть легко использовано для злоупотреблений. Компания вместе с OpenSSF и Linux Foundation продолжает инициативы в области безопасности, выдвинутые на недавнем саммите Белого дома по безопасности с открытым исходным кодом. Microsoft также недавно объявила о новой инициативе, основанной на кибербезопасности .
В недавнем прошлом было обнаружено множество громких уязвимостей кибербезопасности, таких как Log4j и Spring4shell. В попытке предотвратить такие атаки Google представила Assured OSS.
Google надеется, что в рамках Assured OSS пользователи из корпоративного и государственного секторов смогут использовать пакеты Google OSS в своих собственных рабочих процессах разработчиков. Со своей стороны, компания обещает, что пакеты, курируемые службой, будут регулярно сканироваться, тестироваться и анализироваться, чтобы убедиться, что ни одна уязвимость не ускользнет от защиты.
Все пакеты будут создаваться с помощью Google Cloud Build и, таким образом, будут соответствовать требованиям SLSA. SLSA расшифровывается как «Уровни цепочки поставок для артефактов программного обеспечения» и представляет собой хорошо известную структуру, целью которой является стандартизация безопасности цепочек поставок программного обеспечения. Каждый пакет также будет иметь проверяемую подпись Google и будет поставляться с соответствующими метаданными, включающими данные анализа контейнеров/артефактов Google.
Чтобы еще больше привлечь внимание к кибербезопасности, Google также объявила о новом партнерстве с SNYK, израильской платформой безопасности для разработчиков. Гарантированное OSS будет интегрировано в решения SNYK с самого начала, что позволит клиентам обеих компаний получить выгоду.
Google привел ошеломляющую статистику: в 550 наиболее распространенных проектах с открытым исходным кодом, которые он регулярно сканирует, по состоянию на январь 2022 года ему удалось найти более 36 000 уязвимостей. Одно это показывает, насколько важно бороться с уязвимостями этих проекты, учитывая, что программное обеспечение с открытым исходным кодом популярно, необходимо и, безусловно, останется. Возможно, Assured OSS от Google может сделать его более безопасным для всех, кто получит от него пользу.