0
0
O Google anunciou o serviço Google Cloud Assured Open Source Software (Assured OSS), que visa ser uma fonte confiável de pacotes de código aberto seguros, e a API deps.dev, que fornece acesso a metadados de segurança para mais de 50 milhões de versões de pacotes de código aberto.
O serviço Assured OSS
Com o Assured OSS, o Google oferece às organizações a oportunidade de integrar em seus próprios fluxos de trabalho de desenvolvedores os mesmos pacotes OSS que o Google usa e protege.
“Os agentes de ameaças tentam regularmente comprometer o código-fonte e os repositórios-fonte dos projetos OSS. Ao criar pacotes Assured OSS a partir de um espelho gerenciado e protegido pelo Google, em vez de diretamente da Web, o Google pode assumir a responsabilidade de proteger o código-fonte, o repo, a segurança da compilação, do empacotamento e da implantação de ponta a ponta para que a integridade do código-fonte seja mantida, mesmo que ele ou seu repositório tenha sido comprometido “, Andy Chang, Gerente de Produto do Grupo no Google Cloud. disse Help Net Security.
Os agentes de ameaças também tentam comprometer regularmente as ferramentas de pipeline de software e a integridade dos artefatos à medida que progridem nos muitos estágios da cadeia de fornecimento de software, acrescentou. “O Google protege, controla e gerencia isso de ponta a ponta para pacotes Assured OSS e gera proveniência e atestados invioláveis para que os clientes possam verificar por si mesmos.”
Como parte do serviço, o Google também faz testes diários de difuso, varredura e segurança dos pacotes selecionados e relata as vulnerabilidades encontradas.
“Nossa equipe de patches críticos trabalha com mantenedores upstream para agilizar o lançamento de atualizações de segurança e correções para problemas encontrados. Quando necessário, isso inclui corrigir diretamente as vulnerabilidades identificadas e enviar nossas correções para upstream para se tornar a atualização de segurança. Das vulnerabilidades encontradas até o momento pelo Assured OSS, em dois casos, com vulns que tiveram pontuações CVSS em 9,8, as equipes do Google foram as primeiras a encontrar e as primeiras a corrigir”, explicou Chang.
O presente e o futuro do serviço
O Assured OSS está em pré-visualização desde outubro de 2022, mas agora está disponível para o público em geral e oferecido gratuitamente.
Atualmente, abrange os ecossistemas Java e Python, mas Chang diz que a empresa planeja expandi-lo para ecossistemas adicionais com base em discussões contínuas com os clientes sobre suas necessidades.
The list of OSS packages that Google curates and secures includes 1017 binaries (443 Java and 574 Python packages).
For each, Google provides a software bill of materials (SBOM) and vulnerability metadata in industry standard formats (SPDX, VEX).
Os pacotes são construídos com o Cloud Build (a plataforma CI/CD sem servidor do Google), incluem evidências de conformidade verificável com SLSA, são assinados pelo Google e distribuídos a partir de um Registro de Artefatos protegido pelo Google.
Os clientes podem auto-servir seu acesso ao Assured OSS por meio do formulário de integração e, em seguida, usar a API de metadados para listar os pacotes Python e Java disponíveis e determinar quais pacotes do Assured OSS desejam usar.
“O Assured OSS não requer o uso da solução Software Delivery Shield do Google. No entanto, se você estiver usando-o junto com o SDS, a experiência é ainda mais integrada”, explicou Chang.
O Google disse anteriormente que os usuários poderão enviar pacotes de seu próprio portfólio OSS para serem protegidos e gerenciados por meio do serviço gerenciado do Google Cloud.
“Para esta primeira versão GA do Assured OSS, os clientes podem entrar em contato com a equipe de suporte do Assured OSS com suas solicitações para expandir ainda mais o portfólio do Assured OSS. Os pacotes OSS solicitados podem ser aqueles que a organização do cliente usa, mas o Google não”, esclareceu.
A API do deps.dev
A recém-inaugurada API deps.dev permite que os usuários descubram dependências, licenças, avisos e outras informações de segurança em mais de 50 milhões de versões de mais de 5 milhões de pacotes encontrados nos repositórios on-line Go, Maven, PyPI, npm e Cargo.
A API é usada pelo Google internamente e agora pode ser usada por todos os desenvolvedores.
“O conjunto de dados deps.dev é continuamente atualizado a partir de uma variedade de fontes: registros de pacotes, o banco de dados de vulnerabilidade de código aberto, hosts de código como GitHub e GitLab e os próprios artefatos de software”, diz a equipe de segurança de código aberto do Google.
“Juntas, essas informações podem ajudar a responder à pergunta abrangente mais importante: quanto risco essa dependência adicionaria ao meu projeto?”
Os dados podem ser integrados em plugins IDE, plataformas CI / CD, ferramentas de construção, pedágios de análise, etc.
A API também pode ajudar pesquisadores, desenvolvedores e organizações de segurança a descobrir se sua base de código é afetada por uma vulnerabilidade crítica recém-descoberta e onde.
FONTE: HELPNET SECURITY