تصل خدمة البرمجيات مفتوحة المصدر المؤكدة المجانية من Google إلى GA

منذ حوالي عام ، أعلنت Google عن خدمة Assured Open Source Software (Assured OSS) ، وهي خدمة تساعد المطورين على الدفاع ضد هجمات أمن سلسلة التوريد عن طريق الفحص المنتظم لبعض مكتبات البرامج الأكثر شيوعًا في العالم بحثًا عن نقاط الضعف وتحليلها. اليوم ، تطلق Google Assured OSS في الإتاحة العامة مع دعم لأكثر من ألف حزم Java و Python – وبينما لم تكشف Google في البداية عن الأسعار عندما أعلنت عن الخدمة لأول مرة ، كشفت الشركة الآن أنها ستكون متاحة مجانًا . .

لطالما اعتمد تطوير البرامج على مكتبات الطرف الثالث (والتي غالبًا ما يتم صيانتها بواسطة مطور واحد فقط) ، ولكن لم يحدث ذلك حتى تعرضت الصناعة لعدد من عمليات الاستغلال البارزة التي حظي بها الجميع (بما في ذلك البيت الأبيض) . وبدأت في أخذ أمان سلسلة إمداد البرامج على محمل الجد. الآن ، لا يمكنك حضور مؤتمر مفتوح المصدر دون أن تسمع عن فواتير مواد البرمجيات (SBOMs) والسجلات الأثرية والموضوعات المماثلة. ليس من المستغرب إذن أن Google ، التي لطالما كانت في طليعة إطلاق منتجات مفتوحة المصدر ، أطلقت خدمة مثل Assured OSS.

تتعهد Google بأنها ستحافظ باستمرار على تحديث هذه المكتبات (بدون إنشاء مفترقات) والمسح المستمر بحثًا عن نقاط الضعف المعروفة ، وإجراء اختبارات الزغب لاكتشاف أخرى جديدة ثم إصلاح هذه المشكلات والمساهمة في هذه الإصلاحات مرة أخرى. تشير الشركة إلى أنها عندما أطلقت الخدمة لأول مرة مع حوالي 250 مكتبة جافا ، كانت مسؤولة عن اكتشاف 48٪ من CVEs الجديدة لهذه المكتبات ومعالجتها لاحقًا.

“نظرًا لأن المؤسسات تستخدم بشكل متزايد برمجيات المصدر المفتوح لدورات تطوير أسرع ، فإنها تحتاج إلى الثقة مصادر من الأمن يفتح مصدر قالت ميليندا ماركس ، كبيرة المحللين ، ESG. بدون التدقيق والتحقق المناسبين أو البيانات الوصفية للمساعدة في تتبع الوصول إلى OSS واستخدامها ، تخاطر المؤسسات بالتعرض لنقاط الضعف الأمنية المحتملة والمخاطر الأخرى في سلسلة توريد البرامج الخاصة بها. من خلال الشراكة مع مورد موثوق ، يمكن للمؤسسات التخفيف من هذه المخاطر وضمان سلامة سلسلة توريد البرامج لديها لحماية تطبيقات الأعمال بشكل أفضل “.

يمكن للمطورين والمؤسسات التي ترغب في استخدام الخدمة الجديدة سجل هنا ثم دمج Assured OSS في خط أنابيب التطوير الحالي.