Overslaan en naar de inhoud gaan

Google geeft securitygarantie voor open source

Google gaat veelgebruikte opensourcebibliotheken keuren op security en die dan als collectie beschikbaar stellen. De internetreus wil zo de softwaresupplychain veilig stellen voor aanvallen op kwetsbaarheden in open source, die dienst doet in diverse andere producten. Deze zogeheten Assured Open Source Software komt later dit jaar uit.
Approved
© CC0 - Pixabay
CC0 - Pixabay

In zijn aankondiging van dit nieuwe initiatief noemt Google de recente grote securityrampen met Log4j en Spring4Shell. Eerstgenoemde stuk opensourcesoftware is een loggingtool, die door een nieuw ontdekte kwetsbaarheid een fors aantal flink uiteenlopende IT-producten kwetsbaar maakte. Spring4Shell is een kritieke kwetsbaarheid in het Spring Framework, wat een opensourceplatform is voor de ontwikkeling van Java-applicaties. Die 'eindproducten' zijn door Spring4Shell gecompromitteerd qua hun security.

650% meer aanvallen

Google noemt ook de bevinding van securitybedrijf Sonatype dat er een toename van 650% is in hackaanvallen op leveranciers van open source. Die enorme stijging is gemeten in 2021, ten opzichte van het voorgaande jaar. De aandacht van aanvallers op componenten in de supply chains voor software plus de grote impact van recente incidenten hebben de aandacht gevestigd op het beter beveiligen van open source. Naast individuele ontwikkelaars en leveranciers van zulke software zijn ook overheden en grote techleveranciers zich meer met security gaan 'bemoeien'.

Techgiganten als Google, maar ook Microsoft en vele anderen, zijn immers niet alleen zelf afnemers van open source maar vaak ook weer leveranciers. Hun gebruik van open source gebeurt ook in de producten en diensten die zij bieden. Google versterkt nu zijn cloudaanbod met zijn nieuwe dienst Assured Open Source Software (Assured OSS). Daarbij krijgen klanten in de zakelijke markt en in de publieke sector de mogelijkheid om op beveiliging gekeurde opensourcepackages gemakkelijk te verwerken in hun ontwikkelworkflows. Dit zijn dan dezelfde packages die Google zelf gebruikt voor zijn eigen software en services.

Scannen, testen, metadata, verificatie

De 'curatie' voor Assured OSS omvat regelmatige scans, analyses en fuzz-tests op kwetsbaarheden in de code. Daarnaast krijgen de packages bijbehorende extra metadata die analyse-informatie over containers en artifacts bevat. Google zorgt er ook voor dat de aangeboden packages dan gegenereerd zijn met Cloud Build waarbij het bewijs verstrekt van verifieerbare compliance met beveiligingsframework SLSA (Supply chain Levels for Software Artifacts). SLSA is in juni vorig jaar geïntroduceerd door Google om de integriteit van softwaresupplychains te borgen.

Verder voorziet Google de Assured OSS-packages van digitale handtekeningen, die door gebruikers zijn te verifiëren. En tot slot wordt die gekeurde open source gedistribueerd via een zogeheten Artifact Registry die wordt beveiligd en beschermd door Google. Het techbedrijf stelt dat organisaties hierdoor kunnen profiteren van de uitgebreide security-ervaring die Google heeft. Gebruikers hoeven dan niet zelf enorme inspanningen te verrichten voor de complexe processen die nodig zijn om hun afhankelijkheden van open source te beveiligen. Assured OSS komt volgens planning in het derde kwartaal van dit jaar beschikbaar als preview. Het is nog niet bekend wanneer een definitieve release uitkomt.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in