Google Cloud新服務(wù)將提供經(jīng)安全驗(yàn)證的開源組件

Log4j漏洞問題引發(fā)應(yīng)用程序開發(fā)的供應(yīng)鏈安全問題，Google今（18）日宣布名為保證開源軟件（Assured Open Source Software）的服務(wù)，可協(xié)助企業(yè)或開發(fā)商取得經(jīng)過Google漏洞檢查及簽章的開源組件，這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開放測(cè)試。

Google幾年來(lái)陸續(xù)推動(dòng)過強(qiáng)化開源軟件安全的計(jì)劃，包括模糊測(cè)試項(xiàng)目OSS-Fuzz、和Linux基金會(huì)成立開源安全基金會(huì)（OpenSSF）、以及今年初應(yīng)對(duì)Log4Shell引發(fā)的安全議題而參與修補(bǔ)開源軟件漏洞。本周的保證開源軟件（Assured Open Source Software，Assured OSS）則是Google Cloud提供、旨在確保軟件項(xiàng)目所用的開源軟件安全的新服務(wù)。

雖然開發(fā)商或企業(yè)可以自行下載開源組件，但Google強(qiáng)調(diào)，Assured OSS則由Google選擇、安排過，讓他們?nèi)〉肎oogle內(nèi)部開發(fā)都在用的相同OSS組件。

這些開源組件定期經(jīng)Google掃描、分析漏洞及模糊測(cè)試、以Google無(wú)服務(wù)器CI/CD平臺(tái)Cloud Build開發(fā)、經(jīng)過Google簽章、并由Google Cloud（容器鏡像文件及語(yǔ)言組件托管平臺(tái)）Artifact Registry托管及管理，借此省去開發(fā)人員使用開源組件的安全管理作業(yè)。Assured OS預(yù)計(jì)今年第3季以預(yù)覽版上線。

圖片來(lái)源／Google

Google Cloud補(bǔ)充，通過OSS Fuzz，他們持續(xù)對(duì)最常用的550個(gè)開源項(xiàng)目進(jìn)行模糊測(cè)試以尋找漏洞，到今年1月共發(fā)現(xiàn)了36,000多項(xiàng)漏洞。

The Register報(bào)道，這項(xiàng)服務(wù)初期重點(diǎn)放在Google內(nèi)部較常用的Java及Python組件。Google說(shuō)這兩類組件的安全風(fēng)險(xiǎn)也較高。

除了Assured OSS外，Google Cloud今天也宣布和開源軟件云計(jì)算安全供應(yīng)商Snyk合作。Snyk可以其開源軟件漏洞數(shù)據(jù)庫(kù)為開發(fā)項(xiàng)目的npm、Maven、NuGet、RubyGems等組件掃描并修正漏洞。在和Google Cloud的合作中，Assure OSS將原生集成到Snyk服務(wù)。而Snyk的漏洞數(shù)據(jù)庫(kù)、觸發(fā)的action及修正建議，也將集成到Google Cloud的安全和開發(fā)生命周期管理工具，為雙方共同客戶提供服務(wù)。