Google busca implementação de melhorias em software de código aberto

Uma nova ferramenta de segurança de software com código aberto focada na melhoria da segurança entre as cadeias de suprimentos de software foi anunciada pelo Google Cloud. Nomeado de Assured Open Source Software (OSS), o novo programa permite que usuários, corporativos ou do setor público de software de código aberto, incorporem os mesmos pacotes de segurança que o Google usa em seus próprios fluxos de trabalho de desenvolvedor. Levando em conta que os hackers atingem todos os tipos de setores, e por dependerem de um código-fonte aberto para se manterem flexíveis e personalizáveis, as cadeias de suprimentos de software passaram a ser alvo de muitos ataques cibernéticos. Por isso, o Google se uniu ao OpenSSF e a Linux Foundation em busca da promoção de melhores práticas de segurança em software de código aberto. O assunto, que já havia sido tratado em uma cúpula da Casa Branca sobre Segurança de Código Aberto, passou a ser visto como necessário, após demonstrações de vulnerabilidade relacionadas ao Log4j e Spring4shell, que apresentaram incidentes envolvendo a segurança de código aberto de alto nível. A ideia é que os pacotes oferecidos pelo serviço Assured OSS sejam verificados, analisados e testados com frequência, além de terem metadados enriquecidos e correspondentes que incorporam os dados do Google Container/Artifact Analysis. Todos os pacotes incluídos serão criados com o Cloud Build do próprio Google, incluindo evidências de conformidade com SLSA verificável. Sua distribuição será feita por meio de um Artifact Registry, protegido pelo Google, e o Assured OSS deverá entrar em pré-visualização no terceiro trimestre de 2022. Dos 550 projetos de código aberto frequentemente verificados, o Google afirma a presença de 36.000 vulnerabilidades apenas em janeiro deste ano. Além da nova ferramenta, o Google também anunciou a parceria com a plataforma de segurança de desenvolvedores israelenses, SNYK, assegurando ao Assured OSS a integração nativa às soluções SNYK para que clientes conjuntos usem o programa de onde quer que estejam desenvolvendo o código. Dados apresentados pela Instacluster apontam que 45% das pessoas ouvidas reconhecem o potencial do software de código aberto por conta da redução de custos, por outro lado, 38% reconhece o potencial em termos de capacidade de portar códigos com maiores facilidades.