O Google anunciou o lançamento do Assured Open Source Software (Assured OSS), um serviço que ajuda os desenvolvedores a se protegerem contra ataques de segurança de cadeia de suprimentos por meio da varredura e análise regular de vulnerabilidades em algumas das bibliotecas de software mais populares do mundo.
Agora, após um ano desde o anúncio, a empresa está disponibilizando o Assured OSS para o público em geral com suporte para mais de mil pacotes Java e Python – e o melhor de tudo, gratuitamente.
O desenvolvimento de software sempre dependeu de bibliotecas de terceiros, mas só recentemente que a indústria começou a se preocupar com a segurança da cadeia de suprimentos de software, após diversos casos de exploits de alto perfil.
Agora, em conferências de código aberto, é comum ouvir falar sobre assuntos como o Software Bills of Materials (SBOMs) e registro de artefatos. O Google, que tem sido um dos líderes em lançar produtos de código aberto, lançou um serviço como o Assured OSS para ajudar a combater essas vulnerabilidades.
O Google promete manter constantemente essas bibliotecas atualizadas (sem criar bifurcações) e escaneá-las continuamente em busca de vulnerabilidades conhecidas, realizar testes de fuzz para descobrir novas e, em seguida, corrigir esses problemas e contribuir com as correções de volta para a fonte.
A empresa observa que, quando lançou o serviço com cerca de 250 bibliotecas Java, foi responsável por descobrir 48% das novas CVEs para essas bibliotecas e, subsequentemente, abordá-las.
A importância do Assured OSS é clara para os desenvolvedores, que precisam de fontes confiáveis de pacotes de código aberto seguros e precisam mitigar os riscos em sua cadeia de suprimentos de software.
Por isso, o serviço oferece uma solução ao ajudar a garantir a integridade da cadeia de suprimentos, com a verificação e a validação adequadas, além de fornecer metadados para rastrear o acesso e o uso desses pacotes de código aberto.
Os desenvolvedores e organizações que desejam usar o novo serviço podem se inscrever aqui e, em seguida, integrar o Assured OSS em sua pipeline de desenvolvimento existente.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
