Beheer
Google pakt toeleveringsketen aan met 'open-source maintenance crew'
Team gaat veiligheid belangrijke opensourceprojecten analyseren.
Team gaat veiligheid belangrijke opensourceprojecten analyseren.
Google heeft nieuw team samengesteld, genaamd 'open-source maintenance crew', dat zich helemaal richt op een betere beveiliging van opensourcesoftware en -libraries die door veel bedrijven en organisaties worden gebruikt in eigen projecten.
Google kondigde het nieuwe initiatief gisterenavond aan tijdens een Open Source Security Summit die was georganiseerd door de Amerikaanse overheid, meldt Venturebeat. "Het probleem van het beveiligen van opensourcesoftware gaat niet alleen om geld. Bij veel kritieke opensourceprojecten gaat het om het aantal mensen dat betrokken is en hoeveel tijd zij kunnen besteden aan het werk", zei Abhishek Arya, Principal Engineer Open Source Security bij Google. "Zelfs met meer financiering hebben we capaciteit nodig om dat geld aan de juiste doelen te besteden."
Google wil het team nauw laten samenwerken met een organisatie als de Open Source Security Foundation (OpenSSF) die het Google-team kan aansturen en de prioriteiten kan aangeven.
Configuratie op de korrel
Veel van het werk gaat zitten in het verbeteren van de configuratie-opties zodat er minder veiligheidsrisico's optreden. Het gaat onder meer om het afdekken van risico's via afhankelijkheden van andere software, het toevoegen van geautomatiseerde updates en betere mogelijkheden creëren voor ondersteuning door het OpenSSF Security Incident Response team in het geval van een crisis.
Het initiatief is bedoeld om tegenwicht te bieden aan het tanend vertrouwen in open source software terwijl de verwachting juist is dat het gebruik van open source de komende jaren verder toe gaat nemen. Kwaadwillenden hebben de afgelopen maanden steeds vaker kwetsbaarheden in de toeleveringsketen van softwareproducten aangegrepen om zo mee te liften met de update van betrouwbare leveranciers om binnen te dringen bij interessante potentiële slachtoffers. Een recent voorbeeld is de crisis rond Log4j/Log4Shell. Volgens techmonitor.ai stegen de supplychain-aanvallen via opensource-componenten het afgelopen jaar met 650%.
is redacteur, coördinator printeditie en heeft als belangrijkste aandachtspunt Innovatie en Strategie, Artificial Intelligence, Datascience, Netwerken, Process Automation.
Telefoon: +31 (0)202467225 of +31(0)618868529
E-mail: t.doorenbosch@agconnect.nl