Google Cloud busca hacer que el código fuente abierto sea más seguro que nunca

Google Cloud busca hacer que el código fuente abierto sea más seguro que nunca

Google Cloud ha anunciado una nueva herramienta de seguridad de software de código abierto con el objetivo de mejorar la seguridad de las cadenas de suministro de software.

El nuevo software de código abierto Assured (OSS) tiene como objetivo permitir que las empresas y los usuarios del sector público de software de código abierto integren los mismos paquetes de seguridad que utiliza Google en sus propios flujos de trabajo de desarrollo.

Las cadenas de suministro de software, que a menudo dependen del código fuente abierto para seguir siendo flexibles y personalizables, se han convertido en objetivos populares para los ataques cibernéticos, ya que los piratas informáticos buscan atacar industrias de todo tipo.

¿Qué hay detrás de la movida?

El movimiento se produce después de numerosos incidentes de seguridad de código abierto de alto perfil, incluidas las vulnerabilidades relacionadas con Log4j y Spring4shell.

Google se unió a OpenSSF y Linux Foundation en una reunión para promover las iniciativas de seguridad de software de código abierto discutidas en la reciente Cumbre de la Casa Blanca sobre seguridad de código abierto.

Google dice que los paquetes seleccionados por el servicio Assured OSS se escanearán, analizarán y evaluarán periódicamente para detectar vulnerabilidades y tendrán metadatos enriquecidos correspondientes que incorporan los datos de escaneo de contenedores/artefactos de Google.

Todos los paquetes incluidos en la nueva herramienta se crearán con Google Cloud Build e incluirán evidencia de cumplimiento verificable de SLSA.

Los paquetes se distribuirán desde un registro de artefactos seguro y protegido por Google, y se espera que Assured OSS ingrese a la versión preliminar en el tercer trimestre de 2022.

Google señaló que escanea continuamente 550 de los proyectos de código abierto más utilizados y afirma haber encontrado más de 36 000 vulnerabilidades a partir de enero de 2022.

Además, Google también anunció una asociación con la plataforma de seguridad del desarrollador israelí SNYK, lo que significa que Assured OSS se integrará de forma nativa en las soluciones de Snyk para que los clientes conjuntos lo usen donde sea que desarrollen código.

Además, la asociación también significa que las vulnerabilidades de Snyk, las acciones desencadenantes y las recomendaciones de remediación estarán disponibles para los clientes conjuntos como parte del ciclo de vida de desarrollo de software y seguridad de Google Cloud.

Las preocupaciones de seguridad no han impedido que el software de código abierto atraiga el interés de los desarrolladores de todo el mundo.

Una encuesta realizada por Instacluster a desarrolladores de aplicaciones encontró que el 45 % de los encuestados reconoce el potencial del software de código abierto en términos de reducción de costos, mientras que el 38 % reconoce su potencial en términos de poder portar el código más fácilmente.