Google aidera les technologies open source à lutter contre les cyberattaques
À une époque où les cyberattaques se produisent de plus en plus fréquemment, Google a annoncé un nouvel outil de sécurité dans le but d'augmenter la sécurité des logiciels open source.
Assured Open Source Software (OSS) permettra aux utilisateurs d'intégrer les propres packages de sécurité de Google dans leurs propres flux de travail.
Les logiciels open source continuent d'être une cible populaire pour les attaques de sécurité et, comme le note Google dans son annonce, il y a eu une augmentation massive de 650 % d'une année sur l'autre du nombre de cyberattaques visant les fournisseurs open source. Étant donné que les chaînes d'approvisionnement en logiciels utilisent souvent du code open source pour rester accessibles et faciles à personnaliser, elles sont particulièrement vulnérables à ce type d'attaques.
Google est loin d'être la seule entité à tenir compte du fait que les logiciels open source, malgré leurs nombreux avantages, peuvent être facilement abusés. La société, aux côtés d'OpenSSF et de la Fondation Linux, suit les initiatives de sécurité évoquées lors du récent Sommet de la Maison Blanche sur la sécurité Open Source. Microsoft a également annoncé récemment une nouvelle initiative basée sur la cybersécurité .
Il y a eu de nombreuses vulnérabilités de cybersécurité très médiatisées dans un passé récent, telles que Log4j et Spring4shell. Pour tenter d'empêcher de telles attaques, Google a maintenant introduit Assured OSS.
Dans le cadre d'Assured OSS, Google espère permettre aux utilisateurs du secteur des entreprises et du secteur public d'intégrer les packages Google OSS dans leurs propres workflows de développement. De son côté, la société promet que les packages organisés par le service seront régulièrement scannés, fuzz-testés et analysés pour s'assurer qu'aucune vulnérabilité ne parvient à passer les défenses.
Tous les packages seront construits avec Google Cloud Build et seront donc livrés avec une conformité SLSA vérifiable. SLSA signifie Supply-chain Levels for Software Artifacts et est un cadre bien connu qui vise à normaliser la sécurité des chaînes d'approvisionnement en logiciels. Chaque package sera également signé de manière vérifiable par Google et sera accompagné des métadonnées correspondantes incorporant les données d'analyse des conteneurs/artefacts de Google.
Pour mettre davantage l'accent sur la cybersécurité, Google a également annoncé un nouveau partenariat avec SNYK, une plate-forme de sécurité pour développeurs israéliens. Assured OSS sera intégré aux solutions SNYK dès le départ, permettant aux clients des deux sociétés d'en bénéficier.
Google a souligné une statistique stupéfiante : parmi les 550 projets open source les plus courants qu'il analyse régulièrement, il a réussi à trouver plus de 36 000 vulnérabilités en janvier 2022. Cela montre à lui seul à quel point il est important de sévir contre la vulnérabilité de ces derniers. projets, car les logiciels open source sont populaires, nécessaires et définitivement là pour rester. Peut-être que l'OSS assuré de Google peut le rendre plus sûr pour tous ceux qui en bénéficient.