Google commencera à distribuer une collection de bibliothèques de logiciels open source contrôlées par la sécurité
Google a annoncé mardi une nouvelle initiative visant à sécuriser la chaîne d’approvisionnement des logiciels open source en conservant et en distribuant une collection de packages open source contrôlés par la sécurité aux clients de Google Cloud.
Le nouveau service, baptisé Assured Open Source Software, a été présenté dans un article de blog de la société. Dans le message, Andy Chang, chef de produit du groupe pour la sécurité et la confidentialité chez Google Cloud, a souligné certains des défis de la sécurisation des logiciels open source et a souligné l’engagement de Google envers l’open source.
La communauté des développeurs, les entreprises et les gouvernements sont de plus en plus conscients des risques liés à la chaîne d’approvisionnement des logiciels, a écrit Chang, citant comme exemple la vulnérabilité log4j majeure de l’année dernière. Google continue d’être l’un des plus grands mainteneurs, contributeurs et utilisateurs d’open source et est profondément impliqué dans la sécurisation de l’écosystème des logiciels open source.
Selon l’annonce de Google, le service Assured Open Source Software étendra les avantages de la vaste expérience d’audit logiciel de Google aux clients Cloud. Tous les packages open source mis à disposition via le service sont également utilisés en interne par Google, a indiqué la société, et sont régulièrement scannés et analysés pour détecter les vulnérabilités.
Actuellement, une liste des 550 principales bibliothèques open source révisées en permanence par Google est disponible sur GitHub. Bien que ces bibliothèques puissent toutes être téléchargées indépendamment de Google, le programme Assured OSS verra les versions auditées distribuées via Google Cloud atténuer les incidents où les développeurs corrompent intentionnellement ou non des bibliothèques open source largement utilisées. À l’heure actuelle, ce service est en mode d’accès anticipé et devrait être mis à disposition pour des tests clients plus larges au troisième trimestre 2022.
L’annonce de Google s’inscrit dans le cadre d’une campagne à l’échelle de l’industrie visant à améliorer la sécurité de la chaîne d’approvisionnement des logiciels open source et qui a également été soutenue par l’administration Biden.
En janvier, un groupe de certaines des plus grandes entreprises technologiques du pays a rencontré des représentants d’agences fédérales, dont le Department of Homeland Security et la Cybersecurity and Infrastructure Security Agency, pour discuter de la sécurité des logiciels open source à la suite du bogue log4j. Depuis lors, une récente réunion des entreprises impliquées a abouti à une promesse de financement de plus de 30 millions de dollars pour renforcer la sécurité des logiciels open source.
En plus de contribuer au financement, Google consacre également des heures d’ingénierie à la sécurité de la chaîne d’approvisionnement. La société a récemment annoncé la formation d’une équipe de maintenance Open Source qui travaillerait avec les responsables des bibliothèques populaires pour améliorer la sécurité.