Google Assured Open Source Software (Assured OSS)

2022: План запуска репозитория проверенных и надежных пакетов с открытым исходным кодом

18 мая 2022 года Google сообщила о том, что запустит репозиторий проверенных и надежных пакетов с открытым исходным кодом.

Assured Open Source Software (Assured OSS) пригодится разработчикам корпоративных приложений, опасающихся проблем с цепочками поставок.

В репозитории будут содержаться распространенные пакеты с открытым исходным кодом, созданные из исходного кода после проверки его происхождения и всех его зависимостей. Перед созданием пакета исходный код также будет проверяться и тестироваться на наличие уязвимостей. Созданные пакеты будут содержать цифровую подпись Google и расширенные метаданные в соответствии с фреймворком SLSA для обеспечения целостности цепочки поставок.

Ранний доступ к сервису получит только ограниченный круг избранных пользователей. Этап общественного тестирования назначен на третий квартал 2022 года.

Сервис будет платным (чтобы покрыть расходы на инфраструктуру, связанную с созданием, хостингом и тестированием пакетов, включающим автоматизированный фаззинг с более чем 100 тыс. ядер), но цены пока еще не установлены.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.5 т

Для начала Assured OSS будет насчитывать порядка 500 пакетов на Java и Python, которыми пользуется Google. Затем со временем их количество будет расти и охватывать больше языков программирования. Пользователи также смогут вносить для проверки и тестирования используемые ими пакеты с открытым исходным кодом.

Как показывают исследования, в корпоративном ПО часто используются устаревшие и уязвимые версии опенсорсных компонентов. Google намерена исправить эту проблему путем обратного портирования патчей безопасности на более старые версии пакетов, даже если их разработчики этого не делают.

Кроме того, Google скооперируется с ИБ-компанией Snyk, интегрировав свой сервис в платформу и инструменты Snyk^[1].

Примечания