在网络攻击越来越频繁的时候,谷歌宣布了一种新的安全工具,旨在提高开源软件的安全性。
Assured Open Source Software (OSS) 将使用户能够将 Google 自己的安全包整合到他们自己的工作流程中。
开源软件仍然是安全攻击的热门目标,正如谷歌在其公告中指出的那样,针对开源供应商的网络攻击数量同比大幅增长 650%。由于软件供应链经常利用开源代码来保持可访问性和易于定制,因此它们特别容易受到此类攻击。
谷歌远不是唯一一个解决开源软件,尽管它有很多好处,但很容易被滥用这一事实的实体。该公司与 OpenSSF 和 Linux 基金会一起,正在跟进最近在白宫开源安全峰会上提出的安全举措。微软最近还宣布了一项新的基于网络安全的计划。
最近出现了许多备受瞩目的网络安全漏洞,例如 Log4j 和 Spring4shell。为了防止此类攻击的发生,Google 现在引入了 Assured OSS。
作为 Assured OSS 的一部分,谷歌希望让企业部门和公共部门的用户能够将谷歌 OSS 包应用到他们自己的开发人员工作流程中。就其自身而言,该公司承诺将定期扫描、模糊测试和分析由该服务策划的软件包,以确保没有漏洞能够逃脱防御。
所有软件包都将使用 Google 的 Cloud Build 构建,因此将具有可验证的 SLSA 合规性。 SLSA 代表 Software Artifacts 的供应链级别,是一个著名的框架,旨在标准化软件供应链的安全性。每个包也将由 Google 进行可验证的签名,并附带包含 Google 的容器/工件分析数据的相应元数据。
为了进一步关注网络安全,谷歌还宣布与以色列开发者安全平台 SNYK 建立新的合作伙伴关系。 Assured OSS 将从一开始就集成到 SNYK 解决方案中,让两家公司的客户都能从中受益。
谷歌指出了一个惊人的统计数据:在它定期扫描的 550 个最常见的开源项目中,截至 2022 年 1 月,它已经设法发现了超过 36,000 个漏洞。仅此一项就说明了打击这些漏洞的重要性。项目,因为开源软件很受欢迎,需要,而且肯定会留下来。也许 Google 的 Assured OSS 可以让所有受益者更加安全。