Google Cloud新服務(wù)將提供經(jīng)安全驗(yàn)證的開(kāi)源組件

Log4j漏洞問(wèn)題引發(fā)應(yīng)用程序開(kāi)發(fā)的供應(yīng)鏈安全問(wèn)題，Google今（18）日宣布名為保證開(kāi)源軟件（Assured Open Source Software）的服務(wù)，可協(xié)助企業(yè)或開(kāi)發(fā)商取得經(jīng)過(guò)Google漏洞檢查及簽章的開(kāi)源組件，這項(xiàng)服務(wù)預(yù)計(jì)今年第3季開(kāi)放測(cè)試。

Google幾年來(lái)陸續(xù)推動(dòng)過(guò)強(qiáng)化開(kāi)源軟件安全的計(jì)劃，包括模糊測(cè)試項(xiàng)目OSS-Fuzz、和Linux基金會(huì)成立開(kāi)源安全基金會(huì)（OpenSSF）、以及今年初應(yīng)對(duì)Log4Shell引發(fā)的安全議題而參與修補(bǔ)開(kāi)源軟件漏洞。本周的保證開(kāi)源軟件（Assured Open Source Software，Assured OSS）則是Google Cloud提供、旨在確保軟件項(xiàng)目所用的開(kāi)源軟件安全的新服務(wù)。

雖然開(kāi)發(fā)商或企業(yè)可以自行下載開(kāi)源組件，但Google強(qiáng)調(diào)，Assured OSS則由Google選擇、安排過(guò)，讓他們?nèi)〉肎oogle內(nèi)部開(kāi)發(fā)都在用的相同OSS組件。

這些開(kāi)源組件定期經(jīng)Google掃描、分析漏洞及模糊測(cè)試、以Google無(wú)服務(wù)器CI/CD平臺(tái)Cloud Build開(kāi)發(fā)、經(jīng)過(guò)Google簽章、并由Google Cloud（容器鏡像文件及語(yǔ)言組件托管平臺(tái)）Artifact Registry托管及管理，借此省去開(kāi)發(fā)人員使用開(kāi)源組件的安全管理作業(yè)。Assured OS預(yù)計(jì)今年第3季以預(yù)覽版上線。

圖片來(lái)源／Google

Google Cloud補(bǔ)充，通過(guò)OSS Fuzz，他們持續(xù)對(duì)最常用的550個(gè)開(kāi)源項(xiàng)目進(jìn)行模糊測(cè)試以尋找漏洞，到今年1月共發(fā)現(xiàn)了36,000多項(xiàng)漏洞。

The Register報(bào)道，這項(xiàng)服務(wù)初期重點(diǎn)放在Google內(nèi)部較常用的Java及Python組件。Google說(shuō)這兩類(lèi)組件的安全風(fēng)險(xiǎn)也較高。

除了Assured OSS外，Google Cloud今天也宣布和開(kāi)源軟件云計(jì)算安全供應(yīng)商Snyk合作。Snyk可以其開(kāi)源軟件漏洞數(shù)據(jù)庫(kù)為開(kāi)發(fā)項(xiàng)目的npm、Maven、NuGet、RubyGems等組件掃描并修正漏洞。在和Google Cloud的合作中，Assure OSS將原生集成到Snyk服務(wù)。而Snyk的漏洞數(shù)據(jù)庫(kù)、觸發(fā)的action及修正建議，也將集成到Google Cloud的安全和開(kāi)發(fā)生命周期管理工具，為雙方共同客戶提供服務(wù)。