大约一年前,谷歌宣布了其 Assured Open Source Software (Assured OSS) 服务,该服务通过定期扫描和分析一些世界上最流行的软件库的漏洞来帮助开发人员抵御供应链安全攻击。今天,谷歌将 Assured OSS 推向普遍可用性,支持超过一千个 Java 和 Python 包——虽然谷歌在首次宣布该服务时并未透露定价,但该公司现在透露它将免费提供.
软件开发长期以来一直依赖第三方库(通常仅由一个开发人员维护),但直到该行业受到大量引人注目的漏洞攻击后,每个人(包括白宫)才振作起来并开始认真对待软件供应链安全。现在,您不能在没有听说过软件材料清单 (SBOM)、工件注册表和类似主题的情况下参加开源会议。因此,长期以来一直走在开源产品发布前沿的谷歌推出了 Assured OSS 等服务也就不足为奇了。
谷歌承诺将不断更新这些库(不创建分支)并不断扫描已知漏洞,进行模糊测试以发现新漏洞,然后修复这些问题并将这些修复回馈上游。该公司指出,当它首次推出包含约 250 个 Java 库的服务时,它负责为这些库发现 48% 的新 CVE 并随后对其进行解决。
ESG 高级分析师 Melinda Marks 表示:“随着组织越来越多地利用 OSS 来加快开发周期,他们需要可靠的安全开源包来源。 “如果没有适当的审查和验证或元数据来帮助跟踪 OSS 访问和使用,组织就有可能面临潜在的安全漏洞和软件供应链中的其他风险。通过与值得信赖的供应商合作,组织可以降低这些风险并确保其软件供应链的完整性,从而更好地保护其业务应用程序。”
想要使用新服务的开发人员和组织可以在这里注册,然后将 Assured OSS 集成到他们现有的开发管道中。
谷歌的免费 Assured Open Source Software 服务正式发布作者: Frederic Lardinois