Il y a environ un an, google a annoncé son service Assured Open Source Software (Assured OSS), un service qui aide les développeurs à se défendre contre les attaques contre la Sécurité de la chaîne d'approvisionnement en analysant et en analysant régulièrement les vulnérabilités de certaines des bibliothèques de logiciels les plus populaires au monde. Aujourd'hui, Google lance Assured OSS en disponibilité générale avec la prise en charge de plus d'un millier de packages Java et Python – et bien que Google n'ait pas initialement divulgué les prix lors de l'annonce initiale du service, la société a maintenant révélé qu'il serait disponible gratuitement. .

Crédits images : Google

Le développement de logiciels a longtemps dépendu de bibliothèques tierces (qui sont souvent gérées par un seul développeur), mais ce n'est que lorsque l'industrie a été confrontée à un certain nombre d'exploits très médiatisés que tout le monde (y compris la Maison Blanche) s'est réveillé. et a commencé à prendre au sérieux la sécurité de la chaîne d'approvisionnement logicielle. Désormais, vous ne pouvez pas assister à une conférence open source sans entendre parler des nomenclatures logicielles (SBOM), des registres d'artefacts et de sujets similaires. Il n'est donc pas surprenant que Google, qui a longtemps été à l'avant-garde du lancement de produits open source, ait lancé un service comme Assured OSS.

Google promet qu'il maintiendra constamment ces bibliothèques à jour (sans créer de forks) et recherchera en permanence les vulnérabilités connues, effectuera des tests fuzz pour en découvrir de nouvelles, puis corrigera ces problèmes et apportera ces correctifs en amont. La société note que lorsqu'elle a lancé le service avec environ 250 bibliothèques Java, elle était responsable de la découverte de 48 % des nouveaux CVE pour ces bibliothèques et de leur traitement ultérieur.

« Alors que les organisations utilisent de plus en plus les logiciels libres pour des cycles de développement plus rapides, elles ont besoin de solutions fiables. sources de sécurité ouvrir source packages », a déclaré Melinda Marks, analyste principale, ESG. « Sans contrôle et vérification appropriés ou sans métadonnées pour aider à suivre l'accès et l'utilisation des logiciels libres, les organisations risquent d'être exposées à des vulnérabilités de sécurité potentielles et à d'autres risques dans leur chaîne d'approvisionnement logicielle. En s'associant à un fournisseur de confiance, les organisations peuvent atténuer ces risques et garantir l'intégrité de leur chaîne d'approvisionnement logicielle afin de mieux protéger leurs applications métier.

Publicité

Les développeurs et les organisations qui souhaitent utiliser le nouveau service peuvent inscrivez-vous ici puis intégrer Assured OSS dans leur pipeline de développement existant.

4.9/5 - (9 votes)
Publicité
Article précédentTest du Motorola Moto G34 5G : nouveau point de départ ?
Article suivantQuand est l'ensemble Shadow of the Erdtree d'Elden Ring ?

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici