Google annoncerede tirsdag et nyt initiativ, der sigter mod at sikre open source-softwareforsyningskæden ved at kurere og distribuere en sikkerhedskontrolleret samling af open source-pakker til Google Cloud-kunder.
Den nye tjeneste, mærket Assured Open Source Software, blev introduceret i et blogindlæg fra virksomheden. I indlægget pegede Andy Chang, gruppeproduktchef for sikkerhed og privatliv hos Google Cloud, på nogle af udfordringerne ved at sikre open source-software og understregede Googles engagement i open source.
“Der har været en stigende bevidsthed i udviklersamfundet, virksomheder og regeringer om risici i softwareforsyningskæden,” skrev Chang og citerede sidste års store log4j-sårbarhed som et eksempel. “Google er fortsat en af de største vedligeholdere, bidragydere og brugere af open source og er dybt involveret i at hjælpe med at gøre open source-softwareøkosystemet mere sikkert.”
Per Googles meddelelse, Servicen Assured Open Source Software vil udvide fordelene ved Googles egen omfattende softwarerevisionsoplevelse til Cloud-kunder. Alle open source-pakker, der gøres tilgængelige via tjenesten, bruges også internt af Google, sagde virksomheden, og scannes og analyseres regelmæssigt for sårbarheder.
“Der har været en stigende bevidsthed i udviklersamfundet, virksomheder og regeringer om risici i softwareforsyningskæden.”
I øjeblikket er en liste over de 550 store open source-biblioteker, der løbende gennemgås af Google, tilgængelig på GitHub. Selvom disse biblioteker alle kan downloades uafhængigt af Google, vil Assured OSS-programmet se reviderede versioner distribueret gennem Google Cloud – afbødende mod hændelser, hvor udviklere bevidst eller utilsigtet korrumperer udbredte open source-biblioteker. På nuværende tidspunkt er denne tjeneste i tidlig adgangstilstand og forventes at blive gjort tilgængelig for bredere kundetest i 3. kvartal 2022.
Meddelelsen fra Google kommer som en del af en branchedækkende indsats at forbedre sikkerheden i open source-softwareforsyningskæden og en, der også er blevet understøttet af Biden-administrationen.
I januar mødtes en gruppe af nogle af landets største teknologivirksomheder med repræsentanter for føderale agenturer, herunder Department of Homeland Security og Cybersecurity and Infrastructure Security Agency, for at diskutere open source-softwaresikkerhed i kølvandet på log4j-fejlen. Siden da resulterede et nyligt møde mellem de involverede virksomheder i et løfte på mere end 30 millioner dollars i finansiering for at øge open source-softwaresikkerhed.
Udover at bidrage med finansiering, sætter Google også ingeniørarbejde med. timer til at holde forsyningskæden sikker. Virksomheden annoncerede for nylig dannelsen af et “Open Source Maintenance Crew”, der ville arbejde sammen med vedligeholdere af populære biblioteker for at forbedre sikkerheden.