Google Cloud, açık kaynaklı yazılımlara bağımlılıkla ilişkili artan tehlikelere yanıt olarak Assured Open Source Software (Assured OSS) hizmetini Java ve Python ekosistemleri için ücretsiz olarak kullanıma sunuyor.
Synopsys tarafından 2023 yılında yapılan bir araştırmaya göre, açık kaynaklı yazılım kod tabanlarının %84’ü bilinen en az bir güvenlik açığına sahipti (önceki yıla göre kabaca %4 artış) ve %48’i yüksek riskli bir güvenlik açığı içeriyordu.
Assured Open Source Software (Assured OSS) hizmeti, dünyadaki en iyi bilinen bazı yazılım kitaplıklarını güvenlik açıklarına karşı düzenli olarak tarayarak ve analiz ederek, geliştiricilerin tedarik zinciri güvenlik saldırılarına karşı savunmalarına yardımcı olur.
Şirket, açık kaynak satıcılarını hedef alan bilgisayar korsanlığındaki katlanarak artan artışı ele almak için Mayıs 2022’de Assured OSS’yi kısmen geliştirdi.
“Açık kaynağı hedef alan yazılım tedarik zinciri saldırıları artmaya devam ediyor. Açık kaynak paketlerinin güvenli bir şekilde alınması, kod oluşturmayı seçtikleri her yerde kuruluşlar ve geliştiriciler için yaygın bir zorluktur,” Andy Chang, Google Grup Ürün Müdürü, Güvenlik ve Gizlilik.
“Uzun süredir açık kaynak yazılımlara katkıda bulunan, sürdüren ve kullanan biri olduğumuz ve sağlam bir teknoloji, süreçler, güvenlik yetenekleri ve kontroller seti geliştirdiğimiz için Google, bu alanda yardımcı olacak benzersiz bir konuma sahiptir.”
Assured OSS’nin Özellikleri
Google’ın Assured OSS programı, Google’a göre aşağıdaki kod paketlerini sunar:
- Güvenlik açıkları için düzenli olarak taranır, analiz edilir ve bulanıklık testi yapılır.
- Konteyner/Yapı Analizi verilerini içeren, karşılık gelen zenginleştirilmiş meta verilere sahip olun.
- Doğrulanabilir SLSA uyumluluğuna dair kanıtlar da dahil olmak üzere Cloud Build ile oluşturulmuştur.
- Google tarafından doğrulanabilir şekilde imzalanmıştır.
- Google tarafından güvence altına alınan ve korunan bir Artifact Registry’den dağıtılır.
Kod tabanlarının güvenliğini sağlamak, bilgisayar korsanları için potansiyel giriş noktalarını belirlemek ve yazılımı “köşe durumlar” veya beklenmeyen yerlerdeki kusurlar için çarpışma testi yoluyla test etmek anlamına gelir.
Andy Chang, “Assured OSS, genişleyen açık kaynak evreninde hangi paketlerin güvenilir olduğu konusunda rehberlik arayan kuruluşlara değer sağlıyor” dedi.
“Ancak, sorunlu bileşenlerin geliştirme boru hattına girmesini önleyecek araçlara sahip olmaları ve yeni keşfedilen sorunlar için önceden güvenilir bileşenleri sürekli olarak izlemeleri de önemlidir.”
Ayrıca, “yazılım yapıları için tedarik zinciri seviyeleri” anlamına gelen SLSA çerçevesi, yazılım geliştirme yaşam döngüsüne güvence katar.
Mevcut manzaradaki en yaygın güvenlik açıklarını gidermek için yeni güvenlik kuralları ekleyerek, SLSA’nın yazılım tedarik zinciri bütünlüğü kriterlerini resmileştirdiğini ve kuruluşların daha güvenli bir yazılım tedarik zincirine doğru küçük adımlar atmasına yardımcı olduğunu iddia etti.
Chang, “kullanılan açık kaynak yazılım hakkında ne kadar çok şey bilirseniz, DevSecOps ekiplerinin politika uygulama ve riskle ilgili o kadar iyi seçimlere sahip olması” nedeniyle, kapsayıcı analizinden gelen bilgileri içeren daha zengin meta verilere sahip olmanın çok önemli olduğunu ekledi.
“Meta veriler imzalandığı için müşteriler, paketin nasıl oluşturulduğu, derleme adımları, hangi derleme araçlarının koda dokunduğu ve kod üzerinde hangi güvenlik tarama araçlarının çalıştırıldığı dahil olmak üzere meta verilerde yer alan ayrıntıların tamamen güvenli olduğundan emin olabilir. Google onları oluşturduğunda oldukları gibi.”
Google, Assured OSS programının, kuruluşların güvenilir bir kaynaktan OSS paketleri almasına ve Google’ın yazılım malzeme listesini veya SBOM’ları içerdiğinden yazılımın tam olarak ne içerdiğini bilmesine olanak tanıyacağını iddia ediyor.
Şirkete göre, Assured OSS projesi 1.000 Java ve Python paketinden oluşuyor ve DevOps ekiplerinin kendi OSS güvenlik operasyonlarını kurma ve yönetme ihtiyacını ortadan kaldırıyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin