Google, güvenli açık kaynak paketlerinin güvenilir kaynağı olmayı hedefleyen Google Cloud Assured Open Source Software (Assured OSS) hizmetini ve 50 milyondan fazla açık kaynak paket sürümü için güvenlik meta verilerine erişim sağlayan deps.dev API’yi duyurdu. .
Assured OSS hizmeti
Assured OSS ile Google, kuruluşlara Google’ın kullandığı ve güvenliğini sağladığı OSS paketlerinin aynısını kendi geliştirici iş akışlarına entegre etme fırsatı sunar.
“Tehdit aktörleri, OSS projeleri için düzenli olarak kaynak kodunu ve kaynak depolarını tehlikeye atmaya çalışır. Assured OSS paketlerini doğrudan web’den değil, Google tarafından güvenli ve yönetilen bir aynadan oluşturarak Google, kaynak kodun güvenliğini sağlama, depoyu koruma, uçtan uca oluşturma, paketleme ve dağıtımın güvenliğini sağlama sorumluluğunu üstlenebilir. Google Cloud Grup Ürün Müdürü Andy Chang, Help Net Security’ye verdiği demeçte, kaynak kodu kendisi veya deposunun güvenliği ihlal edilmiş olsa bile korunuyor.
Tehdit aktörleri ayrıca, yazılım tedarik zincirinin birçok aşamasında ilerlerken düzenli olarak yazılım boru hattı araçlarını ve eserlerin bütünlüğünü tehlikeye atmaya çalışırlar, diye ekledi. “Google, Assured OSS paketleri için bu uçtan uca güvenliği sağlıyor, kontrol ediyor ve yönetiyor ve müşterilerin kendilerinin doğrulayabilmesi için kurcalamaya açık kaynak ve tasdikler oluşturuyor.”
Hizmetin bir parçası olarak Google ayrıca, seçilen paketler üzerinde günlük olarak bulanıklaştırma, tarama ve güvenlik testleri yapar ve bulunan güvenlik açıklarını bildirir.
“Kritik yama uygulama ekibimiz, güvenlik güncellemelerinin ve bulunan sorunlara yönelik düzeltmelerin yayınlanmasını hızlandırmak için yukarı akış bakımcılarıyla birlikte çalışıyor. Gerektiğinde bu, belirlenen güvenlik açıklarını doğrudan düzeltmeyi ve düzeltmelerimizi güvenlik güncelleştirmesi haline gelmesi için yukarı akışa göndermeyi içerir. Assured OSS tarafından bugüne kadar bulunan güvenlik açıklarından CVSS puanlarının her ikisi de 9,8 olan iki durumda, Google ekipleri hem ilk bulan hem de ilk düzelten oldu,” diye açıkladı Chang.
Hizmetin bugünü ve geleceği
Assured OSS, Ekim 2022’den beri Önizleme aşamasındadır, ancak artık genel kullanıma sunulmuştur ve ücretsiz olarak sunulmaktadır.
Şu anda Java ve Python ekosistemlerini kapsıyor, ancak Chang, şirketin müşterilerle ihtiyaçları hakkında devam eden tartışmalara dayanarak bunu ek ekosistemlere genişletmeyi planladığını söylüyor.
Google’ın seçtiği ve güvenliğini sağladığı OSS paketlerinin listesi, 1017 ikili dosyayı (443 Java ve 574 Python paketi) içerir.
Her biri için Google, endüstri standardı biçimlerde (SPDX, VEX) bir yazılım malzeme listesi (SBOM) ve güvenlik açığı meta verileri sağlar.
Paketler Cloud Build (Google’ın sunucusuz CI/CD platformu) ile oluşturulmuştur, doğrulanabilir SLSA uyumluluğunun kanıtlarını içerir, Google tarafından imzalanır ve Google tarafından güvenliği sağlanan bir Artifact Registry’den dağıtılır.
Müşteriler, Assured OSS’ye erişimlerini katılım formu aracılığıyla kendileri sağlayabilir ve ardından mevcut Python ve Java paketlerini listelemek ve hangi Assured OSS paketlerini kullanmak istediklerini belirlemek için meta veri API’sini kullanabilir.
“Assured OSS, Google’ın Software Delivery Shield çözümünün kullanılmasını gerektirmez. Ancak, SDS ile birlikte kullanıyorsanız, deneyim daha da bütünleşiktir,” diye açıkladı Chang.
Google daha önce, kullanıcıların Google Cloud tarafından yönetilen hizmet aracılığıyla güvenceye alınmak ve yönetilmek üzere kendi OSS portföylerinden paketler gönderebileceklerini söylemişti.
“Assured OSS’nin bu ilk GA sürümü için müşteriler, Assured OSS portföyünü daha da genişletme taleplerini Assured OSS destek ekibiyle iletişime geçebilir. Talep edilen OSS paketleri, müşterinin kuruluşunun kullandığı ancak Google’ın kullanmadığı paketler olabilir” diye açıkladı.
deps.dev API’si
Yeni açılan deps.dev API, kullanıcıların Go, Maven, PyPI, npm ve Cargo çevrimiçi havuzlarında bulunan 5 milyondan fazla paketin 50 milyondan fazla versiyonundaki bağımlılıkları, lisansları, önerileri ve diğer güvenlik bilgilerini keşfetmesine olanak tanır.
API, Google tarafından dahili olarak kullanılmaktadır ve artık tüm geliştiriciler tarafından kullanılabilir.
Google Açık Kaynak Güvenlik Ekibi, “deps.dev veri kümesi, çeşitli kaynaklardan sürekli olarak güncellenir: paket kayıtları, Açık Kaynak Güvenlik Açığı veritabanı, GitHub ve GitLab gibi kod ana bilgisayarları ve yazılım yapıtları,” diyor Google Açık Kaynak Güvenlik Ekibi.
“Birlikte ele alındığında, bu bilgiler en önemli kapsayıcı soruyu yanıtlamaya yardımcı olabilir: bu bağımlılık projeme ne kadar risk katar?”
Veriler, IDE Eklentilerine, CI/CD platformlarına, derleme araçlarına, analiz ücretlerine vb. entegre edilebilir.
API ayrıca güvenlik araştırmacılarının, geliştiricilerin ve kuruluşların kod tabanlarının yeni keşfedilen kritik bir güvenlik açığından etkilenip etkilenmediğini ve nerede olduğunu keşfetmelerine yardımcı olabilir.