Google Salı günü, güvenlik açısından denetlenmiş bir açık kaynak paketleri koleksiyonunu Google Cloud müşterilerine dağıtarak açık kaynaklı yazılım tedarik zincirini güvence altına almayı amaçlayan yeni bir girişimi duyurdu.
Assured Open Source Software markalı yeni hizmet, Blog yazısı şirketten. Yayında, Google Cloud’da güvenlik ve gizlilik grup ürün müdürü Andy Chang, açık kaynaklı yazılımları güvence altına almanın bazı zorluklarına dikkat çekti ve Google’ın açık kaynağa olan bağlılığını vurguladı.
Chang, örnek olarak geçen yılki büyük log4j güvenlik açığına atıfta bulunarak, “Geliştirici topluluğu, işletmeler ve hükümetlerde yazılım tedarik zinciri riskleri konusunda artan bir farkındalık var” diye yazdı. “Google, açık kaynağın en büyük koruyucuları, katkıda bulunanları ve kullanıcıları ve açık kaynaklı yazılım ekosistemini daha güvenli hale getirmeye yardımcı olmaya derinden dahil oluyor.”
Google’ın duyurusuna göre, Assured Open Source Software hizmeti, Google’ın kendi kapsamlı yazılım denetleme deneyiminin avantajlarını Bulut müşterilerine genişletecek. Şirket, hizmet aracılığıyla kullanıma sunulan tüm açık kaynaklı paketlerin Google tarafından dahili olarak kullanıldığını ve güvenlik açıkları için düzenli olarak taranıp analiz edildiğini söyledi.
Şu anda, Google tarafından sürekli olarak incelenmekte olan 550 büyük açık kaynak kitaplığının bir listesi şu şekildedir: GitHub’da mevcut. Bu kitaplıkların tümü Google’dan bağımsız olarak indirilebilse de, Assured OSS programı, Google Cloud aracılığıyla dağıtılan denetlenmiş sürümleri görecek ve geliştiricilerin kasıtlı veya kasıtsız olarak yaygın olarak kullanılan açık kaynak kitaplıklarını bozduğu olayları azaltacaktır. Şu anda bu hizmet erken erişim modunda ve 2022’nin 3. çeyreğinde daha geniş müşteri testleri için kullanıma sunulması bekleniyor.
Google’dan yapılan duyuru, açık kaynaklı yazılım tedarik zincirinin güvenliğini artırmaya yönelik sektör çapındaki ve Biden yönetimi tarafından da desteklenen bir girişimin parçası olarak geliyor.
Ocak ayında, ülkenin en büyük teknoloji şirketlerinden oluşan bir grup, İç Güvenlik Bakanlığı ve Siber Güvenlik ve Altyapı Güvenliği Ajansı da dahil olmak üzere federal kurumların temsilcileriyle bir araya geldi. açık kaynaklı yazılım güvenliğini tartışmak için log4j hatasının ardından. O zamandan beri, dahil olan şirketlerin yakın tarihli bir toplantısı, bir 30 milyon dolardan fazla finansman taahhüdü açık kaynaklı yazılım güvenliğini artırmak için.
Google, finansmana katkıda bulunmanın yanı sıra, tedarik zincirini güvende tutmak için mühendislik saatleri de veriyor. Şirket geçtiğimiz günlerde bir “Açık Kaynak Bakım Ekibi” güvenliği artırmak için popüler kitaplıkların koruyucularıyla birlikte çalışacaktı.