約 1 年前、Google は Assured Open Source Software (Assured OSS) サービスを発表しました。このサービスは、開発者が世界で最も人気のあるソフトウェア ライブラリの脆弱性を定期的にスキャンして分析することにより、サプライ チェーンのセキュリティ攻撃から防御するのに役立ちます。 本日、Google は Assured OSS の一般提供を開始し、1,000 を超える Java および Python パッケージをサポートします。Google はサービスを最初に発表したとき、価格を明らかにしませんでしたが、今回、無料で利用できるようになることを明らかにしました。 .
画像クレジット: グーグル
ソフトウェア開発は長い間、サードパーティのライブラリ (多くの場合、1 人の開発者によってのみ維持されている) に依存してきました。ソフトウェアサプライチェーンのセキュリティを真剣に考え始めました。 今では、ソフトウェア部品表 (SBOM)、アーティファクト レジストリ、および同様のトピックについて聞かずに、オープン ソース カンファレンスに参加することはできません。 長い間オープンソース製品のリリースの最前線に立っている Google が、Assured OSS のようなサービスを開始したのは当然のことです。
Google は、これらのライブラリを (フォークを作成せずに) 常に最新の状態に保ち、既知の脆弱性を継続的にスキャンし、ファズ テストを行って新しい脆弱性を発見し、これらの問題を修正して、これらの修正をアップストリームに提供することを約束します。 同社は、約 250 の Java ライブラリを含むサービスを最初に開始したとき、これらのライブラリの新しい CVE の 48% を発見し、その後それらに対処する責任があったと述べています。
「開発サイクルを短縮するために OSS を利用する組織が増えているため、組織は信頼できるものを必要としています。 ソース 安全な 開ける ソース ESG のシニア アナリスト、メリンダ マークスは次のように述べています。 「適切な審査と検証、または OSS へのアクセスと使用状況を追跡するのに役立つメタデータがなければ、組織は潜在的なセキュリティの脆弱性やソフトウェア サプライ チェーンのその他のリスクにさらされる危険があります。 信頼できるサプライヤーと提携することで、組織はこれらのリスクを軽減し、ソフトウェア サプライ チェーンの整合性を確保して、ビジネス アプリケーションをより適切に保護できます。」
新しいサービスを使用したい開発者や組織は、 ここでサインアップ そして、Assured OSS を既存の開発パイプラインに統合します。