У той час, коли кібератаки відбуваються все частіше, Google оголосив новий інструмент безпеки з метою підвищення безпеки програмного забезпечення з відкритим кодом.
Гарантоване програмне забезпечення з відкритим вихідним кодом (OSS) дозволить користувачам включати власні пакети безпеки Google у власні робочі процеси.
Програмне забезпечення з відкритим кодом продовжує залишатися популярною мішенню для атак на безпеку, і, як зазначає Google у своєму оголошення, кількість кібератак, спрямованих на постачальники з відкритим кодом. Оскільки ланцюжки постачання програмного забезпечення часто використовують код з відкритим кодом, щоб залишатися доступним і легким для налаштування, вони особливо вразливі до таких атак.
Пов'язані
- Ця альтернатива ChatGPT безкоштовна, із відкритим кодом і доступна зараз
- Як ChatGPT може допомогти Microsoft скинути пошук Google
- Бібліотека емодзі від Microsoft стає відкритою
Google далеко не єдина організація, яка звертає увагу на той факт, що програмним забезпеченням з відкритим кодом, незважаючи на його численні переваги, можна легко зловживати. Разом з OpenSSF і Linux Foundation компанія продовжує ініціативи щодо безпеки, висвітлені під час нещодавнього саміту Білого дому з безпеки відкритого коду. Microsoft також нещодавно оголосила про новий
ініціатива на основі кібербезпеки.Рекомендовані відео
Нещодавно було виявлено численні резонансні вразливості кібербезпеки, такі як Log4j і Spring4shell. Щоб запобігти подібним атакам, Google запровадив гарантований OSS.
У рамках Assured OSS компанія Google сподівається надати користувачам як корпоративного, так і державного сектору можливість використовувати пакети Google OSS у власних робочих процесах розробників. Зі свого боку компанія обіцяє, що пакети, які курує сервіс, будуть регулярними відскановані, перевірені на fuzz і проаналізовані, щоб переконатися, що жодна вразливість не може проскочити повз захист.
Усі пакети створюватимуться за допомогою Google Cloud Build і, таким чином, матимуть перевірену відповідність SLSA. SLSA розшифровується як Supply-chain Levels for Software Artifacts і є добре відомою структурою, спрямованою на стандартизацію безпеки ланцюгів постачання програмного забезпечення. Кожен пакет також матиме перевірений підпис Google і буде надаватися з відповідними метаданими, що містять дані аналізу контейнерів/артефактів Google.
Щоб ще більше привернути увагу до кібербезпеки, Google також оголосила про нове партнерство з SNYK, ізраїльською платформою безпеки розробників. Assured OSS буде інтегровано в рішення SNYK із самого початку, що дозволить клієнтам обох компаній отримати вигоду.
Google надав приголомшливу статистику: серед 550 найпоширеніших проектів з відкритим кодом, які вона регулярно сканує, їй вдалося знайти понад 36 000 вразливостей станом на січень 2022 року. Уже лише це показує, наскільки важливо боротися з уразливістю цих проектів, оскільки програмне забезпечення з відкритим кодом є популярним, потрібним і, безумовно, залишається тут. Можливо, Google Assured OSS може зробити його більш безпечним для всіх, хто виграє від нього.
Рекомендації редакції
- Команда Stable Diffusion щойно запустила конкурента ChatGPT із відкритим кодом
- Google упустив великий шанс із технологією, схожою на ChatGPT, стверджує звіт
- Будьте обережні — навіть програми Mac з відкритим кодом можуть містити зловмисне програмне забезпечення
- Остання зміна антиспаму від Google допомагає очистити ваш календар
- Здавленим очам космонавтів може допомогти високотехнологічний спальний мішок
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
