Google Cloud a annoncé un nouvel outil de sécurité logicielle open source dans le but d’améliorer la sécurité des chaînes d’approvisionnement en logiciels.
Le nouveau logiciel Assured Open Source Software (OSS) vise à permettre aux entreprises et aux utilisateurs du secteur public de logiciels open source d’intégrer les mêmes packages de sécurité que Google utilise dans ses propres flux de travail de développement.
Les chaînes d’approvisionnement en logiciels, qui s’appuient souvent sur le code open source pour rester flexibles et personnalisables, sont devenues des cibles populaires pour les cyberattaques, car les pirates cherchent à cibler des industries de toutes sortes.
Qu’y a-t-il derrière le déménagement ?
Cette décision intervient après de nombreux incidents de sécurité open source très médiatisés, notamment des vulnérabilités liées à Log4j et Spring4shell.
Google a rejoint l’OpenSSF et la Fondation Linux pour une réunion visant à faire avancer les initiatives de sécurité des logiciels open source discutées lors du récent Sommet de la Maison Blanche sur la sécurité Open Source.
Google indique que les packages organisés par le service Assured OSS seront régulièrement scannés, analysés et fuzz-testés pour les vulnérabilités et auront des métadonnées enrichies correspondantes qui intègrent les données d’analyse des conteneurs/artefacts de Google.
Tous les packages inclus dans le nouvel outil seront construits avec Google Cloud Build et incluront des preuves de conformité vérifiable à la SLSA.
Les packages seront distribués à partir d’un registre d’artefacts sécurisé et protégé par Google, avec Assured OSS qui devrait entrer en avant-première au troisième trimestre 2022.
Google a souligné qu’il analyse en continu 550 des projets open source les plus couramment utilisés et affirme avoir trouvé plus de 36 000 vulnérabilités en janvier 2022.
En outre, Google a également annoncé un partenariat avec la plate-forme de sécurité des développeurs israéliens SNYK, ce qui signifie qu’Assured OSS sera intégré de manière native dans les solutions Snyk pour que les clients communs puissent l’utiliser partout où ils développent du code.
En outre, le partenariat signifie également que les vulnérabilités, les actions de déclenchement et les recommandations de correction de Snyk seront disponibles pour les clients communs dans le cadre du cycle de vie de la sécurité et du développement logiciel de Google Cloud.
Les problèmes de sécurité n’ont pas empêché les logiciels open source de susciter l’intérêt des développeurs du monde entier.
Un sondage réalisé par Instacluster auprès des développeurs d’applications a révélé que 45 % des personnes interrogées reconnaissent le potentiel des logiciels open source en termes de réduction des coûts, tandis que 38 % reconnaissent son potentiel en termes de possibilité de portage de code plus facilement.