Google ofrecerá Assured Open Source Software, el software de código abierto que ha examinado y utiliza internamente, para permitir que las empresas obtengan los beneficios del OSS que se ha verificado como seguro.
Buscando ayudar a reducir el riesgo de vulnerabilidades de la cadena de suministro de software en el software de código abierto, Google dice que lanzará sus propios paquetes y bibliotecas de código abierto examinado para que las usen otras organizaciones. La compañía hizo el anuncio en su blog de Google Cloud , diciendo que su nuevo servicio de software de código abierto Assured (Assured OSS) permitirá a los usuarios del sector público y empresarial incorporar los mismos paquetes de software de código abierto que utiliza Google en sus propios flujos de trabajo de desarrollador.
El nuevo servicio en la nube de Google, cuya versión preliminar está prevista para el tercer trimestre de 2022, se produce en medio de un gran aumento de los ataques cibernéticos dirigidos al código abierto, con ejemplos recientes que incluyen los ataques para explotar la vulnerabilidad Log4j2 contra ese marco de registro basado en Java de código abierto. eso es común en los servidores web Apache. Pero ese no es el único. El proveedor de gestión de la cadena de suministro de software Sonatype dijo en su Informe sobre el estado de la cadena de suministro de software que los ataques cibernéticos dirigidos a proveedores de código abierto aumentaron un 650 % año tras año en 2021.
Además, las organizaciones empresariales de hoy utilizan cada vez más el software de código abierto, una tendencia que se aceleró durante la pandemia, según el Informe sobre el estado de la empresa de código abierto de 2022 de Red Hat y una publicación de blog del presidente y director ejecutivo de Red Hat, Paul Cormier. De hecho, la encuesta encontró que el 80% de los líderes de TI esperan aumentar su uso de software empresarial de código abierto para tecnologías emergentes. Ciertamente, Google no está solo en su esfuerzo por abordar las vulnerabilidades de código abierto. La Linux Foundation y la Open Software Security Foundation, con el apoyo de 37 empresas, incluidas Amazon, Google y Microsoft, lanzaron recientemente un plan para proteger el software de código abierto.
OSS asegurado de Google
En su blog que anuncia el lanzamiento de Assured OSS, el gerente de producto del grupo para seguridad y privacidad, Andy Chang, escribió: “Google continúa siendo uno de los mayores mantenedores, contribuyentes y usuarios de código abierto y está profundamente involucrado en ayudar a hacer que el ecosistema de código abierto más seguro a través de esfuerzos que incluyen Open Source Security Foundation (OpenSSF), base de datos de vulnerabilidades de código abierto (OSV) y OSS-Fuzz”.
Chang señaló que el lanzamiento de Assured OSS de Google siguió a otras iniciativas de seguridad de código abierto que la compañía discutió en una cumbre de la Casa Blanca sobre seguridad de código abierto en enero . “El código de software de fuente abierta está disponible para el público, gratis para que cualquiera lo use, modifique o inspeccione”, escribió Kent Walker, presidente de Asuntos Globales de Google y la empresa matriz Alphabet, en una publicación de blog en enero. “Debido a que está disponible gratuitamente, el código abierto facilita la innovación colaborativa y el desarrollo de nuevas tecnologías para ayudar a resolver problemas compartidos. Es por eso que muchos aspectos de la infraestructura crítica y los sistemas de seguridad nacional lo incorporan”.
Pero también puede haber problemas con ese enfoque, como señaló Walker.“No hay una asignación oficial de recursos y pocos requisitos o estándares formales para mantener la seguridad de ese código crítico”, escribió. “De hecho, la mayor parte del trabajo para mantener y mejorar la seguridad del código abierto, incluida la reparación de vulnerabilidades conocidas, se realiza de forma voluntaria ad hoc”.
Eso abre una gran área de preocupación sobre la introducción de vulnerabilidades que podrían explotarse. Mientras que algunos proyectos de código abierto tienen "muchos ojos" trabajando en ellos y buscando problemas, algunos proyectos no los tienen, señaló Walker.
Junto con su anuncio de Assured OSS, Google Cloud también anunció una colaboración con Snyk, una plataforma de seguridad para desarrolladores. Google dijo que Assured OSS se integrará de forma nativa en las soluciones de Snyk para que los clientes conjuntos lo usen al desarrollar código. Además, las vulnerabilidades de Synk, las acciones desencadenantes y las recomendaciones de remediación estarán disponibles para los clientes conjuntos dentro de las herramientas de ciclo de vida de desarrollo de software y seguridad de Google Cloud para mejorar la experiencia del desarrollador, según Google.
La colaboración aborda una de las principales preocupaciones que surgieron durante la reunión de la Casa Blanca en enero: prevenir defectos de seguridad y vulnerabilidades en el código y paquetes de código abierto, mejorar el proceso para encontrar defectos y corregirlos, y acortar el tiempo de respuesta para distribuir e implementar arreglos.
Fuente: informationweek | somoslibres
