谷歌将分发经过安全审查的开源软件库集合

140

谷歌周二宣布了一项新举措,旨在通过为谷歌云客户策划和分发经过安全审查的开源软件包集合来保护开源软件供应链。

这项名为 Assured Open Source Software 的新服务是在该公司的一篇博客文章中介绍的。在帖子中,谷歌云安全和隐私部门产品经理 Andy Chang 指出了保护开源软件的一些挑战,并强调了谷歌对开源的承诺。

“开发人员社区、企业和政府对软件供应链风险的认识越来越高,”Chang 写道,并以去年的主要 log4j 漏洞为例。“谷歌仍然是最大的开源维护者、贡献者和用户之一,并深入参与帮助使开源软件生态系统更加安全。”

根据谷歌的公告,Assured Open Source Software 服务将把谷歌自身丰富的软件审计经验的好处扩展到云客户。该公司表示,通过该服务提供的所有开源软件包也由谷歌内部使用,并定期扫描和分析漏洞。

目前,Google 持续审查的 550 个主要开源库的列表可在 GitHub 上找到。虽然这些库都可以独立于谷歌下载,但 Assured OSS 计划将看到通过谷歌云分发的经过审计的版本——减少开发人员有意或无意破坏广泛使用的开源库的事件。目前,该服务处于抢先体验模式,预计将于 2022 年第三季度提供给更广泛的客户测试。

谷歌的公告是全行业提高开源软件供应链安全性的一部分,也得到了拜登政府的支持。

1 月份,一些美国最大的科技公司会见了包括国土安全部和网络安全与基础设施安全局在内的联邦机构的代表,讨论了 log4j 漏洞之后的开源软件安全问题。从那时起,相关公司最近的一次会议导致承诺提供超过 3000 万美元的资金,以提高开源软件的安全性。

除了提供资金外,谷歌还将工程时间用于保证供应链的安全。该公司最近宣布成立“开源维护团队”,与流行图书馆的维护者合作以提高安全性。