Conte com a experiência do Google em cibersegurança

https://network-king.net/wp-content/uploads/2022/05/shutterstock_1924287638-769x404.jpg

Desenvolvedores e usuários de software de código aberto agora podem contar com ajuda do Google para incrementar suas iniciativas de cibersegurança. Com a atenção voltada ao aumento de 650% no volume de ataques cibernéticos direcionados a explorar vulnerabilidades no ecossistema de open source em 2021, o Google anunciou o novo serviço Assured Open Source Software (OSS) que vai disponibilizar seus próprios pacotes e bibliotecas de código aberto para que outras organizações possam usar.

Afirmando em seu blog ser um dos maiores mantenedores, contribuidores e usuários de código aberto, o Google se diz profundamente envolvido em ajudar a tornar esse ecossistema mais seguro por meio de esforços que incluem a participação na Open Source Security Foundation (OpenSSF), contribuições para o banco de dados Open Source Vulnerabilities (OSV)  e para o OSS-Fuzz. Mais recentemente, o Google se juntou ao OpenSSF, à Linux Foundation e a outros líderes do setor em uma reunião para avançar com as iniciativas discutidas durante a Cúpula da Casa Branca sobre segurança para software de código aberto em janeiro.

O Assured Source Software vai permitir incorporar facilmente nos fluxos de trabalho dos desenvolvedores os mesmos pacotes e biblitecas indicados para segurança de software de código aberto que o Google usa. Esse conjunto com curadoria do Google tem as seguites características:

  • É regularmente verificado, analisado e testado para identificar possíveis vulnerabilidades;
  • Conta com metadados enriquecidos que incorporam dados de análise de contêineres e artefatos;
  • Foi criado usando Cloud Build, incluindo evidências de conformidade verificáveis com SLSA (Supply chain Levels for Software Artifacts), lista de verificação de padrões e controles para evitar adulterações, melhorar a integridade e proteger pacotes e infraestruturas;
  • É comprovadamente assinado pelo Google;
  • É distribuído a partir de um Artifact Registry protegido pelo Google.

Com esses elementos, o Assured OSS permite que organizações se beneficiem da experiência do Google em cibersegurança e reduzam a necessidade de desenvolver, manter e operar processos complexos para proteger suas dependências de código aberto.

A previsão é se que o Assured OSS seja oferecido entre no modo Preview no terceiro trimestre de 2022.

Além disso, o Google e a Snyk, empresa especializada em soluções para desenvolvimento seguro, anunciaram a intenção ajudar ainda mais os desenvolvedores a entender os riscos e os impactos de suas dependências de código aberto e usar o Assured OSS para ajudar a reduzi-los. Para isso, o Assured OSS será integrado nativamente às soluções da Snyk  e vulnerabilidades, ações de acionamento e recomendações de correção ficarão disponíveis para clientes em comum nas ferramentas de gestão de ciclo de vida de desenvolvimento e segurança do Google Cloud para assim melhoras a experiência dos desenvolvedores.

Com essa iniciativa conjunta, espera-se reduzir as chances de adoção de software de código aberto com vulnerabilidades críticas, identificar mais rapidamente os impactos associados de eventuais falhas, mitigar a exposição a novas ameaças e otimizar a automação das atividades de correção.

Segurança em casa

A figura abaixo detalha os vários estágios da cadeia de software para se detectar dependências do código aberto. As organizações têm pontos de entrada muito diferentes nesse ciclo de vida. Algumas criam pacotes desde a origem fonte, enquanto outras usam pacotes vindos de repositórios de confiança.

Algumas organizações, entre elas o Google, centralizam o controle e protegem ativamente cada etapa do processo de ponta a ponta. O Google, por exemplo, começa por manter cópias seguras separadas do código-fonte e realiza sua própria verificação de vulnerabilidades. Continuamente faz testes fuzzing dos 550 projetos de código aberto mais usados e, apenas em janeiro de 2022, encontrou mais de 36.000 vulnerabilidades.

Fonte: Google

Por reconhecer que a maioria das organizações não contam com recursos ou experiência para fazer o mesmo em benefício da segurança do código aberto, o Google tem atuado para contribuir com o ecossistema com iniciativas como o lançamento do serviço Assured OSS.

FacebookTwitterLinkedIn