Vor etwa einem Jahr kündigte Google seinen Dienst Assured Open Source Software (Assured OSS) an, einen Dienst, der Entwicklern hilft, sich gegen Angriffe auf die Lieferkettensicherheit zu wehren, indem er regelmäßig einige der weltweit beliebtesten Softwarebibliotheken scannt und auf Schwachstellen analysiert. Heute bringt Google Assured OSS mit Unterstützung für weit über tausend Java- und Python-Pakete in die allgemeine Verfügbarkeit – und obwohl Google bei der ersten Ankündigung des Dienstes zunächst keine Preise bekannt gab, hat das Unternehmen nun bekannt gegeben, dass es kostenlos verfügbar sein wird .

Bildnachweis: Google

Die Softwareentwicklung war lange Zeit von Drittanbieterbibliotheken abhängig (die oft nur von einem einzigen Entwickler gepflegt werden), aber erst als die Branche von einer Reihe hochkarätiger Exploits getroffen wurde, wurden alle (einschließlich des Weißen Hauses) munter und begann, die Sicherheit der Softwarelieferkette ernst zu nehmen. Nun können Sie an keiner Open-Source-Konferenz teilnehmen, ohne etwas über Software Bills of Materials (SBOMs), Artefaktregistrierungen und ähnliche Themen gehört zu haben. Es ist daher keine Überraschung, dass Google, das seit langem an der Spitze der Veröffentlichung von Open-Source-Produkten steht, einen Dienst wie Assured OSS eingeführt hat.

Google verspricht, diese Bibliotheken ständig auf dem neuesten Stand zu halten (ohne Forks zu erstellen) und kontinuierlich nach bekannten Schwachstellen zu scannen, Fuzz-Tests durchzuführen, um neue zu entdecken, und diese Probleme dann zu beheben und diese Korrekturen wieder in den Upstream einzubringen. Das Unternehmen stellt fest, dass es beim ersten Start des Dienstes mit rund 250 Java-Bibliotheken dafür verantwortlich war, 48 % der neuen CVEs für diese Bibliotheken zu entdecken und anschließend zu adressieren.

„Da Unternehmen zunehmend OSS für schnellere Entwicklungszyklen nutzen, brauchen sie Vertrauen Quellen von sicher offen Quelle Paketen“, sagte Melinda Marks, Senior Analyst, ESG. „Ohne ordnungsgemäße Überprüfung und Verifizierung oder Metadaten zur Nachverfolgung von OSS-Zugriff und -Nutzung riskieren Unternehmen, potenziellen Sicherheitslücken und anderen Risiken in ihrer Software-Lieferkette ausgesetzt zu sein. Durch die Partnerschaft mit einem vertrauenswürdigen Anbieter können Unternehmen diese Risiken mindern und die Integrität ihrer Softwarelieferkette sicherstellen, um ihre Geschäftsanwendungen besser zu schützen.“

Entwickler und Organisationen, die den neuen Dienst nutzen möchten, können dies tun Hier anmelden und dann Assured OSS in ihre bestehende Entwicklungspipeline integrieren.