Google Cloud新服務(wù)將提供經(jīng)安全驗(yàn)證的開(kāi)源組件

來(lái)源:十輪網(wǎng)
作者:十輪網(wǎng)
時(shí)間:2022-05-19
2198
Log4j漏洞問(wèn)題引發(fā)應(yīng)用程序開(kāi)發(fā)的供應(yīng)鏈安全問(wèn)題,Google今(18)日宣布名為保證開(kāi)源軟件(Assured Open Source Software)的服務(wù),可協(xié)助企業(yè)或開(kāi)發(fā)商取得經(jīng)過(guò)Google漏洞檢查及簽章的開(kāi)源組件,這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開(kāi)放測(cè)試。

0518-_google_cloud_security_summit-assured_open_source-960.jpg

Log4j漏洞問(wèn)題引發(fā)應(yīng)用程序開(kāi)發(fā)的供應(yīng)鏈安全問(wèn)題,Google今(18)日宣布名為保證開(kāi)源軟件(Assured Open Source Software)的服務(wù),可協(xié)助企業(yè)或開(kāi)發(fā)商取得經(jīng)過(guò)Google漏洞檢查及簽章的開(kāi)源組件,這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開(kāi)放測(cè)試。

Google幾年來(lái)陸續(xù)推動(dòng)過(guò)強(qiáng)化開(kāi)源軟件安全的計(jì)劃,包括模糊測(cè)試項(xiàng)目OSS-Fuzz、和Linux基金會(huì)成立開(kāi)源安全基金會(huì)(OpenSSF)、以及今年初應(yīng)對(duì)Log4Shell引發(fā)的安全議題而參與修補(bǔ)開(kāi)源軟件漏洞。本周的保證開(kāi)源軟件(Assured Open Source Software,Assured OSS)則是Google Cloud提供、旨在確保軟件項(xiàng)目所用的開(kāi)源軟件安全的新服務(wù)。

雖然開(kāi)發(fā)商或企業(yè)可以自行下載開(kāi)源組件,但Google強(qiáng)調(diào),Assured OSS則由Google選擇、安排過(guò),讓他們?nèi)〉肎oogle內(nèi)部開(kāi)發(fā)都在用的相同OSS組件。

這些開(kāi)源組件定期經(jīng)Google掃描、分析漏洞及模糊測(cè)試、以Google無(wú)服務(wù)器CI/CD平臺(tái)Cloud Build開(kāi)發(fā)、經(jīng)過(guò)Google簽章、并由Google Cloud(容器鏡像文件及語(yǔ)言組件托管平臺(tái))Artifact Registry托管及管理,借此省去開(kāi)發(fā)人員使用開(kāi)源組件的安全管理作業(yè)。Assured OS預(yù)計(jì)今年第3季以預(yù)覽版上線。

1_Assured_Open_Source_Software.max-1000x1000.jpg

圖片來(lái)源/Google

Google Cloud補(bǔ)充,通過(guò)OSS Fuzz,他們持續(xù)對(duì)最常用的550個(gè)開(kāi)源項(xiàng)目進(jìn)行模糊測(cè)試以尋找漏洞,到今年1月共發(fā)現(xiàn)了36,000多項(xiàng)漏洞。

The Register報(bào)道,這項(xiàng)服務(wù)初期重點(diǎn)放在Google內(nèi)部較常用的Java及Python組件。Google說(shuō)這兩類組件的安全風(fēng)險(xiǎn)也較高。

除了Assured OSS外,Google Cloud今天也宣布和開(kāi)源軟件云計(jì)算安全供應(yīng)商Snyk合作。Snyk可以其開(kāi)源軟件漏洞數(shù)據(jù)庫(kù)為開(kāi)發(fā)項(xiàng)目的npm、Maven、NuGet、RubyGems等組件掃描并修正漏洞。在和Google Cloud的合作中,Assure OSS將原生集成到Snyk服務(wù)。而Snyk的漏洞數(shù)據(jù)庫(kù)、觸發(fā)的action及修正建議,也將集成到Google Cloud的安全和開(kāi)發(fā)生命周期管理工具,為雙方共同客戶提供服務(wù)。

原文鏈接:點(diǎn)擊前往 >
版權(quán)說(shuō)明:本文內(nèi)容來(lái)自于十輪網(wǎng),本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
個(gè)人VIP
小程序
快出海小程序
公眾號(hào)
快出海公眾號(hào)
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家