Há cerca de um ano, o Google anunciou seu serviço Assured Open Source Software (Assured OSS), um serviço que ajuda os desenvolvedores a se defender contra ataques à segurança da cadeia de suprimentos, verificando e analisando regularmente algumas das bibliotecas de software mais populares do mundo em busca de vulnerabilidades. Hoje, o Google está lançando o Assured OSS em disponibilidade geral com suporte para mais de mil pacotes Java e Python – e embora o Google inicialmente não tenha divulgado os preços quando anunciou o serviço pela primeira vez, a empresa agora revelou que estará disponível gratuitamente. .
O desenvolvimento de software há muito depende de bibliotecas de terceiros (que geralmente são mantidas por apenas um único desenvolvedor), mas não foi até que a indústria foi atingida por uma série de exploits de alto perfil que todos (incluindo a Casa Branca) se animaram. e começou a levar a sério a segurança da cadeia de suprimentos de software. Agora, você não pode participar de uma conferência de código aberto sem ouvir sobre Software Bills of Materials (SBOMs), registros de artefatos e tópicos semelhantes. Não é surpresa, então, que o Google, que está há muito tempo na vanguarda do lançamento de produtos de código aberto, tenha lançado um serviço como o Assured OSS.
O Google promete que manterá constantemente essas bibliotecas atualizadas (sem criar bifurcações) e verificará continuamente as vulnerabilidades conhecidas, fará testes fuzz para descobrir novos e, em seguida, corrigirá esses problemas e contribuirá com essas correções upstream. A empresa observa que, quando lançou o serviço pela primeira vez com cerca de 250 bibliotecas Java, foi responsável por descobrir 48% dos novos CVEs para essas bibliotecas e, posteriormente, endereçá-los.
“À medida que as organizações utilizam cada vez mais o OSS para ciclos de desenvolvimento mais rápidos, elas precisam de fontes de seguro abrir fonte pacotes”, disse Melinda Marks, analista sênior da ESG. “Sem verificação e verificação adequadas ou metadados para ajudar a rastrear o acesso e uso de OSS, as organizações correm o risco de exposição a possíveis vulnerabilidades de segurança e outros riscos em sua cadeia de suprimentos de software. Ao fazer parceria com um fornecedor confiável, as organizações podem mitigar esses riscos e garantir a integridade de sua cadeia de suprimentos de software para proteger melhor seus aplicativos de negócios.”
Desenvolvedores e organizações que desejam usar o novo serviço podem se inscrever aqui e integrar o Assured OSS em seu pipeline de desenvolvimento existente.