Log4j漏洞問(wèn)題引發(fā)應(yīng)用程序開(kāi)發(fā)的供應(yīng)鏈安全問(wèn)題�,Google今(18)日宣布名為保證開(kāi)源軟件(Assured Open Source Software)的服務(wù)��,可協(xié)助企業(yè)或開(kāi)發(fā)商取得經(jīng)過(guò)Google漏洞檢查及簽章的開(kāi)源組件�����,這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開(kāi)放測(cè)試�。
Log4j漏洞問(wèn)題引發(fā)應(yīng)用程序開(kāi)發(fā)的供應(yīng)鏈安全問(wèn)題�,Google今(18)日宣布名為保證開(kāi)源軟件(Assured Open Source Software)的服務(wù),可協(xié)助企業(yè)或開(kāi)發(fā)商取得經(jīng)過(guò)Google漏洞檢查及簽章的開(kāi)源組件���,這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開(kāi)放測(cè)試�。
Google幾年來(lái)陸續(xù)推動(dòng)過(guò)強(qiáng)化開(kāi)源軟件安全的計(jì)劃��,包括模糊測(cè)試項(xiàng)目OSS-Fuzz�、和Linux基金會(huì)成立開(kāi)源安全基金會(huì)(OpenSSF)�、以及今年初應(yīng)對(duì)Log4Shell引發(fā)的安全議題而參與修補(bǔ)開(kāi)源軟件漏洞。本周的保證開(kāi)源軟件(Assured Open Source Software�����,Assured OSS)則是Google Cloud提供�、旨在確保軟件項(xiàng)目所用的開(kāi)源軟件安全的新服務(wù)。
雖然開(kāi)發(fā)商或企業(yè)可以自行下載開(kāi)源組件���,但Google強(qiáng)調(diào)���,Assured OSS則由Google選擇��、安排過(guò)���,讓他們?nèi)〉肎oogle內(nèi)部開(kāi)發(fā)都在用的相同OSS組件。
這些開(kāi)源組件定期經(jīng)Google掃描�、分析漏洞及模糊測(cè)試、以Google無(wú)服務(wù)器CI/CD平臺(tái)Cloud Build開(kāi)發(fā)�、經(jīng)過(guò)Google簽章、并由Google Cloud(容器鏡像文件及語(yǔ)言組件托管平臺(tái))Artifact Registry托管及管理��,借此省去開(kāi)發(fā)人員使用開(kāi)源組件的安全管理作業(yè)�。Assured OS預(yù)計(jì)今年第3季以預(yù)覽版上線。
圖片來(lái)源/Google
Google Cloud補(bǔ)充�����,通過(guò)OSS Fuzz�,他們持續(xù)對(duì)最常用的550個(gè)開(kāi)源項(xiàng)目進(jìn)行模糊測(cè)試以尋找漏洞,到今年1月共發(fā)現(xiàn)了36,000多項(xiàng)漏洞���。
The Register報(bào)道��,這項(xiàng)服務(wù)初期重點(diǎn)放在Google內(nèi)部較常用的Java及Python組件�����。Google說(shuō)這兩類組件的安全風(fēng)險(xiǎn)也較高��。
除了Assured OSS外���,Google Cloud今天也宣布和開(kāi)源軟件云計(jì)算安全供應(yīng)商Snyk合作�。Snyk可以其開(kāi)源軟件漏洞數(shù)據(jù)庫(kù)為開(kāi)發(fā)項(xiàng)目的npm�����、Maven�、NuGet、RubyGems等組件掃描并修正漏洞��。在和Google Cloud的合作中���,Assure OSS將原生集成到Snyk服務(wù)。而Snyk的漏洞數(shù)據(jù)庫(kù)��、觸發(fā)的action及修正建議�����,也將集成到Google Cloud的安全和開(kāi)發(fā)生命周期管理工具�����,為雙方共同客戶提供服務(wù)。
閩公網(wǎng)安備 35010202001226號(hào)
