Innovatie & Strategie

Security
goedkeuring

Google geeft securitygarantie voor open source

Cloudklanten Google krijgen securitygekeurde collectie open source.

© CC0 - Pixabay OpenClipart
18 mei 2022

Cloudklanten Google krijgen securitygekeurde collectie open source.

Google gaat veelgebruikte opensourcebibliotheken keuren op security en die dan als collectie beschikbaar stellen. De internetreus wil zo de softwaresupplychain veilig stellen voor aanvallen op kwetsbaarheden in open source, die dienst doet in diverse andere producten. Deze zogeheten Assured Open Source Software komt later dit jaar uit.

In zijn aankondiging van dit nieuwe initiatief noemt Google de recente grote securityrampen met Log4j en Spring4Shell. Eerstgenoemde stuk opensourcesoftware is een loggingtool, die door een nieuw ontdekte kwetsbaarheid een fors aantal flink uiteenlopende IT-producten kwetsbaar maakte. Spring4Shell is een kritieke kwetsbaarheid in het Spring Framework, wat een opensourceplatform is voor de ontwikkeling van Java-applicaties. Die 'eindproducten' zijn door Spring4Shell gecompromitteerd qua hun security. 

650% meer aanvallen

Google noemt ook de bevinding van securitybedrijf Sonatype dat er een toename van 650% is in hackaanvallen op leveranciers van open source. Die enorme stijging is gemeten in 2021, ten opzichte van het voorgaande jaar. De aandacht van aanvallers op componenten in de supply chains voor software plus de grote impact van recente incidenten hebben de aandacht gevestigd op het beter beveiligen van open source. Naast individuele ontwikkelaars en leveranciers van zulke software zijn ook overheden en grote techleveranciers zich meer met security gaan 'bemoeien'.

Techgiganten als Google, maar ook Microsoft en vele anderen, zijn immers niet alleen zelf afnemers van open source maar vaak ook weer leveranciers. Hun gebruik van open source gebeurt ook in de producten en diensten die zij bieden. Google versterkt nu zijn cloudaanbod met zijn nieuwe dienst Assured Open Source Software (Assured OSS). Daarbij krijgen klanten in de zakelijke markt en in de publieke sector de mogelijkheid om op beveiliging gekeurde opensourcepackages gemakkelijk te verwerken in hun ontwikkelworkflows. Dit zijn dan dezelfde packages die Google zelf gebruikt voor zijn eigen software en services.

Scannen, testen, metadata, verificatie

De 'curatie' voor Assured OSS omvat regelmatige scans, analyses en fuzz-tests op kwetsbaarheden in de code. Daarnaast krijgen de packages bijbehorende extra metadata die analyse-informatie over containers en artifacts bevat. Google zorgt er ook voor dat de aangeboden packages dan gegenereerd zijn met Cloud Build waarbij het bewijs verstrekt van verifieerbare compliance met beveiligingsframework SLSA (Supply chain Levels for Software Artifacts). SLSA is in juni vorig jaar geïntroduceerd door Google om de integriteit van softwaresupplychains te borgen.

Verder voorziet Google de Assured OSS-packages van digitale handtekeningen, die door gebruikers zijn te verifiëren. En tot slot wordt die gekeurde open source gedistribueerd via een zogeheten Artifact Registry die wordt beveiligd en beschermd door Google. Het techbedrijf stelt dat organisaties hierdoor kunnen profiteren van de uitgebreide security-ervaring die Google heeft. Gebruikers hoeven dan niet zelf enorme inspanningen te verrichten voor de complexe processen die nodig zijn om hun afhankelijkheden van open source te beveiligen. Assured OSS komt volgens planning in het derde kwartaal van dit jaar beschikbaar als preview. Het is nog niet bekend wanneer een definitieve release uitkomt.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.