圖片來源: 

Google

Log4j漏洞問題引發應用程式開發的供應鏈安全問題,Google今(18)日宣布名為保證開源軟體(Assured Open Source Software)的服務,可協助企業或開發商取得經過Google漏洞檢查及簽章的開源套件,這項服務預計今年第3季開放測試。

Google幾年來陸續推動過強化開源碼軟體安全的計畫,包括模糊測試專案OSS-Fuzz、和Linux基金會成立開源安全基金會(OpenSSF)、以及今年初因應Log4Shell引發的安全議題而參與修補開源軟體漏洞。本周的保證開源軟體(Assured Open Source Software,Assured OSS)則是Google Cloud提供、旨在確保軟體專案所用的開源軟體安全的新服務。

雖然開發商或企業可以自行下載開源套件,但Google 強調,Assured OSS則由Google選擇、安排過,讓他們取得Google內部開發都在用的相同OSS套件。

這些開源套件定期經Google掃瞄、分析漏洞及模糊測試、以Google 無伺服器CI/CD平臺Cloud Build開發、經過Google簽章、並由Google Cloud(容器映像檔及語言套件代管平臺)Artifact Registry代管及管理,藉此省去開發人員使用開源套件的安全管理作業。Assured OS預計今年第3季以預覽版上線。

圖片來源/Google

Google Cloud補充,透過OSS Fuzz,他們持續對最常用的550個開源專案進行模糊測試以尋找漏洞,到今年1月共發現了36,000多項漏洞。

The Register報導,這項服務初期重點放在Google內部較常用的Java及Python套件。Google說這兩類套件的安全風險也較高。

除了Assured OSS外,Google Cloud今天也宣布和開源軟體雲端安全供應商Snyk合作。Snyk可以其開源軟體漏洞資料庫為開發專案的npm、Maven、NuGet、RubyGems等套件掃瞄並修正漏洞。在和Google Cloud的合作中,Assure OSS將原生整合到Snyk服務。而Snyk的漏洞資料庫、觸發的action及修正建議,也將整合到Google Cloud的安全和開發生命周期管理工具,為雙方共同客戶提供服務。

熱門新聞

Advertisement