Google Cloud新服務將提供經(jīng)安全驗證的開源組件

Log4j漏洞問題引發(fā)應用程序開發(fā)的供應鏈安全問題，Google今（18）日宣布名為保證開源軟件（Assured Open Source Software）的服務，可協(xié)助企業(yè)或開發(fā)商取得經(jīng)過Google漏洞檢查及簽章的開源組件，這項服務預計今年第3季開放測試。

Google幾年來陸續(xù)推動過強化開源軟件安全的計劃，包括模糊測試項目OSS-Fuzz、和Linux基金會成立開源安全基金會（OpenSSF）、以及今年初應對Log4Shell引發(fā)的安全議題而參與修補開源軟件漏洞。本周的保證開源軟件（Assured Open Source Software，Assured OSS）則是Google Cloud提供、旨在確保軟件項目所用的開源軟件安全的新服務。

雖然開發(fā)商或企業(yè)可以自行下載開源組件，但Google強調(diào)，Assured OSS則由Google選擇、安排過，讓他們?nèi)〉肎oogle內(nèi)部開發(fā)都在用的相同OSS組件。

這些開源組件定期經(jīng)Google掃描、分析漏洞及模糊測試、以Google無服務器CI/CD平臺Cloud Build開發(fā)、經(jīng)過Google簽章、并由Google Cloud（容器鏡像文件及語言組件托管平臺）Artifact Registry托管及管理，借此省去開發(fā)人員使用開源組件的安全管理作業(yè)。Assured OS預計今年第3季以預覽版上線。

圖片來源／Google

Google Cloud補充，通過OSS Fuzz，他們持續(xù)對最常用的550個開源項目進行模糊測試以尋找漏洞，到今年1月共發(fā)現(xiàn)了36,000多項漏洞。

The Register報道，這項服務初期重點放在Google內(nèi)部較常用的Java及Python組件。Google說這兩類組件的安全風險也較高。

除了Assured OSS外，Google Cloud今天也宣布和開源軟件云計算安全供應商Snyk合作。Snyk可以其開源軟件漏洞數(shù)據(jù)庫為開發(fā)項目的npm、Maven、NuGet、RubyGems等組件掃描并修正漏洞。在和Google Cloud的合作中，Assure OSS將原生集成到Snyk服務。而Snyk的漏洞數(shù)據(jù)庫、觸發(fā)的action及修正建議，也將集成到Google Cloud的安全和開發(fā)生命周期管理工具，為雙方共同客戶提供服務。