O desenvolvimento de aplicativos envolve uma enorme cadeia de suprimentos de software de código aberto. E, infelizmente, desenvolvedores em todo o espaço corporativo estão preocupados com a segurança dessa cadeia de suprimentos da qual eles dependem fortemente para o desenvolvimento de seus aplicativos. Para melhorar isso, o Google planeja disponibilizar seu próprio repositório interno de componentes de código aberto com segurança reforçada como um novo serviço pago chamado Assured Open Source Software (Assured OSS).
Assured Open Source Software
O serviço conterá pacotes comuns de código aberto que foram criados a partir do código-fonte após a proveniência do código e de suas dependências terem sido verificadas e o código ter sido revisado e testado quanto a vulnerabilidades, aponta o CSOOnline.
Os pacotes resultantes conterão metadados avançados em conformidade com a nova estrutura Níveis da cadeia de suprimentos para artefatos de software (SLSA) e serão assinados digitalmente pelo Google.
O novo serviço estará disponível apenas para clientes selecionados para testes de acesso antecipado e deverá entrar em um estágio de visualização pública no terceiro trimestre de 2022. O preço ainda não foi decidido, embora seja um serviço pago para aliviar os custos de infraestrutura associados construir e hospedar os pacotes, bem como os testes de segurança, que incluem testes fuzz automatizados com mais de 100.000 núcleos.
O serviço começará com uma coleção de cerca de 500 pacotes Java e Python que o Google usa, mas será expandido no futuro para cobrir outras linguagens de programação. Além disso, os clientes também poderão enviar quaisquer pacotes de código aberto em que confiam para serem adicionados e gerenciados por meio do repositório e receber o mesmo tratamento de garantia de segurança que os existentes.
Manter componentes de software locais não é fácil
A abordagem do Google é o que todas as organizações que desenvolvem software já deveriam estar fazendo para lidar com alguns dos riscos da cadeia de suprimentos, que são manter cópias locais dos componentes que usam em seus repositórios locais, em vez de extraí-los diretamente dos repositórios públicos. Isso lhes daria um buffer caso um dos pacotes ou suas dependências fossem comprometidos e envenenados com código malicioso, aponta o CSOOnline.
No entanto, essa prática também pode levar a atrasos na correção se não for gerenciada adequadamente, pois as versões internas do pacote podem se tornar obsoletas se as correções de segurança upstream não forem inseridas regularmente.
Muitos estudos descobriram ao longo dos anos que os aplicativos corporativos usam versões desatualizadas e vulneráveis de componentes de código aberto em seus aplicativos. Ou seja, algumas falhas de segurança podem acabar surgindo.
Corrigindo versões de código aberto mais antigas
O Google planeja resolver alguns desses problemas fazendo backport de patches de segurança para versões mais antigas dos pacotes afetados, mesmo que o mantenedor original não o faça. Assim, haverá um atraso entre o lançamento de uma nova versão e o momento em que uma cópia auditada e assinada pelo Google aparecer no repositório do Assured OSS.
O Google é um dos maiores contribuidores de projetos de código aberto e seus pesquisadores já descobriram mais de 16.000 vulnerabilidades até agora. Além disso, a empresa fará parceria com a empresa de segurança para desenvolvedores Snyk, onde o Assured OSS será integrado à plataforma e ferramentas da Snyk e à inteligência de vulnerabilidades da Snyk.
As ações acionadas e as recomendações de correção ficarão disponíveis para clientes conjuntos nas ferramentas de ciclo de vida de desenvolvimento de software do Google Cloud.
Via: CSOOnline