Newsletter abbonieren
Nutzungsbedingungen
Home > Cybersecurity > Warum Sie auf Googles Fachwissen im Bereich Cybersicherheit vertrauen sollten
Mai 27, 2022
Entwickler und Nutzer von Open-Source-Software sollten sich auf das Fachwissen von Google verlassen, um ihre Initiativen für Cybersicherheit zu stärken. Denn angesichts der Tatsache, dass die Zahl der Cyberangriffe, die auf die Ausnutzung von Schwachstellen im Open-Source-Ökosystem abzielen, bis 2021 um 650 % zunehmen wird, hat Google den neuen Dienst Assured Open Source Software (OSS) angekündigt. Mit diesem Service stellt das Unternehmen seine eigenen Open-Source-Pakete und -Bibliotheken auch anderen Unternehmen zur Verfügung.
In seinem Blog bezeichnet sich Google als einer der größten Verwalter, Beiträger und Nutzer im Bereich Open Source und ist nach eigenen Angaben dabei, dieses Ökosystem sicherer zu machen – unter anderem durch die Teilnahme an der Open Source Security Foundation (OpenSSF), durch Beiträge zur Datenbank für Open Source Vulnerabilities (OSV) sowie OSS-Fuzz. Kürzlich nahm Google gemeinsam mit der OpenSSF, der Linux Foundation und anderen Branchenführern an einem Treffen teil, um Initiativen voranzutreiben, die auf dem White House Summit on Security for Open Source Software im Januar diskutiert wurden.
Die Assured Source Software ermöglicht es, dieselben Open-Source-Software-Sicherheitspakete und -Bibliotheken, die auch Google verwendet, problemlos in die Arbeitsabläufe von Entwicklern einzubinden. Denn die von Google kuratierte Suite verfügt über folgende Eigenschaften:
Mit diesen Merkmalen ermöglicht Assured OSS Unternehmen, von Googles Cybersicherheits-Know-how zu profitieren. Darüber hinaus reduziert es die Notwendigkeit, komplexe Prozesse zur Sicherung der Open-Source-Abhängigkeiten zu entwickeln, zu pflegen und zu betreiben.
Assured OSS wird voraussichtlich im 3. Quartal 2022 im Preview-Modus angeboten.
Außerdem kündigten Google und Snyk – ein auf sichere Entwicklungslösungen spezialisiertes Unternehmen – ihre Absicht an, Entwickler aktiv zu unterstützen. Mit ihrer Hilfe sollen sie die Risiken und Auswirkungen ihrer Open-Source-Abhängigkeiten besser verstehen und mit Assured OSS reduzieren. Zu diesem Zweck wird der Dienst in die Lösungen von Snyk integriert. Die Schwachstellen, Trigger-Aktionen und Empfehlungen zur Behebung werden den gemeinsamen Kunden dann im Google Cloud Development Lifecycle Management und in den Sicherheitstools zur Verfügung gestellt – um so die Entwicklererfahrung zu verbessern.
Mit dieser gemeinsamen Initiative sollen die Wahrscheinlichkeit der Übernahme von Open-Source-Software mit kritischen Schwachstellen verringert und die damit verbundenen Auswirkungen potenzieller Mängel schneller erkannt werden. Zudem dienen sie dem Zweck, die Gefährdung durch neue Bedrohungen zu reduzieren und die Automatisierung von Abhilfemaßnahmen zu optimieren.
In der nachstehenden Abbildung sind die verschiedenen Stufen in der Softwarekette zur Ermittlung von Open-Source-Abhängigkeiten dargestellt. Dabei haben Organisationen sehr unterschiedliche Einstiegspunkte in diesen Lebenszyklus. Schließlich erstellen die einen Pakete aus dem Quellcode, während andere Pakete aus vertrauenswürdigen Repositorien verwenden.
Einige Unternehmen, darunter auch Google, zentralisieren die Kontrolle und schützen aktiv jeden Schritt des End-to-End-Prozesses. Google beispielsweise unterhält zunächst separate, sichere Kopien des Quellcodes und führt eigene Schwachstellenscans durch. Außerdem betreibt es kontinuierlich Fuzzing-Tests der 550 meistgenutzten Open-Source-Projekte und fand dadurch allein im Januar 2022 mehr als 36.000 Sicherheitslücken.
Google hat erkannt, dass die meisten Unternehmen nicht über die Ressourcen oder das Fachwissen verfügen, in gleichem Maß für die Open-Source-Sicherheit zu engagieren. So hat der Konzern mit Initiativen wie der Einführung des Assured OSS-Dienstes einen wertvollen Beitrag für das Ökosystem geleistet.
Previous
Next
