Google anunció el martes una nueva iniciativa destinada a asegurar l. a. cadena de suministro de device de código abierto mediante l. a. selección y distribución de una colección de paquetes de código abierto con verificación de seguridad a los clientes de Google Cloud.
El nuevo servicio, con l. a. marca Confident Open Supply Tool, se presentó en un entrada en el blog De l. a. compañia. En l. a. publicación, Andy Chang, gerente de productos del grupo para seguridad y privacidad en Google Cloud, señaló algunos de los desafíos de asegurar el device de código abierto y enfatizó el compromiso de Google con el código abierto.
“Ha habido una mayor conciencia en l. a. comunidad de desarrolladores, las empresas y los gobiernos sobre los riesgos de l. a. cadena de suministro de device”, escribió Chang, citando como ejemplo l. a. importante vulnerabilidad log4j del año pasado. “Google sigue siendo uno de los mayores mantenedores, contribuyentes y usuarios de código abierto y está profundamente involucrado en ayudar a que el ecosistema de device de código abierto sea más seguro”.
Según el anuncio de Google, el servicio de device de código abierto Confident extenderá los beneficios de l. a. amplia experiencia de auditoría de device de Google a los clientes de l. a. nube. Todos los paquetes de código abierto disponibles a través del servicio también son utilizados internamente por Google, dijo l. a. compañía, y se escanean y analizan periódicamente en busca de vulnerabilidades.
Actualmente, una lista de las 550 principales bibliotecas de código abierto que Google revisa continuamente es disponible en GitHub. Si bien todas estas bibliotecas se pueden descargar independientemente de Google, el programa Confident OSS verá versiones auditadas distribuidas a través de Google Cloud, lo que mitigará los incidentes en los que los desarrolladores corrompen intencionalmente o no las bibliotecas de código abierto ampliamente utilizadas. Actualmente, este servicio se encuentra en modo de acceso temprano y se espera que esté disponible para pruebas de clientes más amplias en el tercer trimestre de 2022.
El anuncio de Google se produce como parte de un impulso de toda l. a. industria para mejorar l. a. seguridad de l. a. cadena de suministro de device de código abierto y que también ha sido respaldado por l. a. administración de Biden.
En enero, un grupo de algunas de las empresas tecnológicas más grandes del país se reunió con representantes de agencias federales, incluido el Departamento de Seguridad Nacional y l. a. Agencia de Seguridad de Infraestructura y Ciberseguridad. para discutir la seguridad del software de código abierto a raíz del error log4j. Desde entonces, una reunión reciente de las empresas involucradas resultó en una promesa de más de $30 millones en fondos para impulsar l. a. seguridad del device de código abierto.
Además de aportar fondos, Google también dedica horas de ingeniería a mantener segura l. a. cadena de suministro. L. a. compañía anunció recientemente l. a. formación de una “Equipo de mantenimiento de código abierto” que trabajaría con los mantenedores de bibliotecas populares para mejorar l. a. seguridad.