Google quiere asegurar el código abierto para proteger las cadenas de suministro del software

Google tiene un plan y un nuevo producto más una asociación con la tienda de seguridad Snyk, enfocada en los desarrolladores que intentan facilitar a las empresas proteger sus dependencias de software de código abierto.

El nuevo servicio, anunciado hoy en Google Cloud Security Summit, se llama Assured Open Source Software.

El nuevo producto inicialmente se centrará en proteger algunos paquetes de Java y Python que los propios desarrolladores de Google priorizan en sus flujos de trabajo.

Estos dos lenguajes de programación tienen perfiles de riesgo particularmente alto, según el vicepresidente y Sunil Potti (gerente general de Google Cloud Cloud).

El gigante de la nube, Google Cloud, planea ir agregando más paquetes cada trimestre. Priorizando el soporte para nuevos paquetes e idiomas que soliciten los clientes junto a una vista previa del servicio que estará disponible a finales de este año.

Los paquetes seleccionados por el servicio Assured OSS se escanearán, analizarán y probarán periódicamente para detectar vulnerabilidades.

Además, incluirán los correspondientes metadatos enriquecidos que incorporan datos de análisis de contenedores/artefactos y están creados con Cloud Build que verifica que el código cumpla con SLSA (niveles de la cadena de suministro para artefactos de software).

Este es el framework de Google para garantizar la integridad de los artefactos de software en todo el software que se usa dentro de las cadenas de suministro.

SLSA se basa en una autorización binaria interna que los empleados de Google han utilizado durante casi una década y es obligatoria para todas las cargas de trabajo de producción propias de la empresa.

Además, los paquetes Assured OSS serán firmados por Google y distribuidos desde un Registro de artefactos administrado por Google .

El nuevo servicio se basa en herramientas internas y mejores prácticas en las que Google ha “invertido mucho” durante los últimos años para proteger sus propias dependencias de software de código abierto, según dice Potti.

Relacionados