Notícias

Google planeja disponibilizar seu próprio repositório interno de componentes de código aberto com segurança reforçada

Jardeson Márcio
Jardeson Márcio
google-planeja-disponibilizar-seu-proprio-repositorio-interno-de-componentes-de-codigo-aberto-com-seguranca-reforcada

O desenvolvimento de aplicativos envolve uma enorme cadeia de suprimentos de software de código aberto. E, infelizmente, desenvolvedores em todo o espaço corporativo estão preocupados com a segurança dessa cadeia de suprimentos da qual eles dependem fortemente para o desenvolvimento de seus aplicativos. Para melhorar isso, o Google planeja disponibilizar seu próprio repositório interno de componentes de código aberto com segurança reforçada como um novo serviço pago chamado Assured Open Source Software (Assured OSS).

Assured Open Source Software

O serviço conterá pacotes comuns de código aberto que foram criados a partir do código-fonte após a proveniência do código e de suas dependências terem sido verificadas e o código ter sido revisado e testado quanto a vulnerabilidades, aponta o CSOOnline.

Os pacotes resultantes conterão metadados avançados em conformidade com a nova estrutura Níveis da cadeia de suprimentos para artefatos de software (SLSA) e serão assinados digitalmente pelo Google.

O novo serviço estará disponível apenas para clientes selecionados para testes de acesso antecipado e deverá entrar em um estágio de visualização pública no terceiro trimestre de 2022. O preço ainda não foi decidido, embora seja um serviço pago para aliviar os custos de infraestrutura associados construir e hospedar os pacotes, bem como os testes de segurança, que incluem testes fuzz automatizados com mais de 100.000 núcleos.

O serviço começará com uma coleção de cerca de 500 pacotes Java e Python que o Google usa, mas será expandido no futuro para cobrir outras linguagens de programação. Além disso, os clientes também poderão enviar quaisquer pacotes de código aberto em que confiam para serem adicionados e gerenciados por meio do repositório e receber o mesmo tratamento de garantia de segurança que os existentes.

google-planeja-disponibilizar-seu-proprio-repositorio-interno-de-componentes-de-codigo-aberto-com-seguranca-reforcada

Manter componentes de software locais não é fácil

A abordagem do Google é o que todas as organizações que desenvolvem software já deveriam estar fazendo para lidar com alguns dos riscos da cadeia de suprimentos, que são manter cópias locais dos componentes que usam em seus repositórios locais, em vez de extraí-los diretamente dos repositórios públicos. Isso lhes daria um buffer caso um dos pacotes ou suas dependências fossem comprometidos e envenenados com código malicioso, aponta o CSOOnline.

No entanto, essa prática também pode levar a atrasos na correção se não for gerenciada adequadamente, pois as versões internas do pacote podem se tornar obsoletas se as correções de segurança upstream não forem inseridas regularmente.

Muitos estudos descobriram ao longo dos anos que os aplicativos corporativos usam versões desatualizadas e vulneráveis de componentes de código aberto em seus aplicativos. Ou seja, algumas falhas de segurança podem acabar surgindo.

Corrigindo versões de código aberto mais antigas

O Google planeja resolver alguns desses problemas fazendo backport de patches de segurança para versões mais antigas dos pacotes afetados, mesmo que o mantenedor original não o faça. Assim, haverá um atraso entre o lançamento de uma nova versão e o momento em que uma cópia auditada e assinada pelo Google aparecer no repositório do Assured OSS.

O Google é um dos maiores contribuidores de projetos de código aberto e seus pesquisadores já descobriram mais de 16.000 vulnerabilidades até agora. Além disso, a empresa fará parceria com a empresa de segurança para desenvolvedores Snyk, onde o Assured OSS será integrado à plataforma e ferramentas da Snyk e à inteligência de vulnerabilidades da Snyk.

As ações acionadas e as recomendações de correção ficarão disponíveis para clientes conjuntos nas ferramentas de ciclo de vida de desenvolvimento de software do Google Cloud.

Via: CSOOnline

Leia também

Suporte ao Microsoft Xbox Adaptive Controller sendo trabalhado para Linux

Estúdios de animação devem atualizar seus sistemas operacionais para RHEL 9, Rocky Linux ou AlmaLinux 9

FSearch 0.2 melhora pesquisa e acaba com suporte ao snap

Microsoft lança Dev Box Preview para facilitar a vida dos desenvolvedores

Digital Ocean dispensa Mailchimp após ataque vazar endereços de e-mail de clientes

TAGGED: , , , ,
Share this Article
Posted by Jardeson Márcio
Siga:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article stellar-converter-for-edb-um-incrivel-software-de-conversao-para-arquivos-edb Stellar Converter for EDB: Um incrível software de conversão para arquivos EDB!
Next Article falha-grave-de-seguranca-do-virtualbox-afeta-sistemas-linux Falha grave de segurança do VirtualBox afeta sistemas Linux!

Permaneça conectado

Acabamos de publicar

Suporte ao Microsoft Xbox Adaptive Controller sendo trabalhado para Linux
Suporte ao Microsoft Xbox Adaptive Controller sendo trabalhado para Linux
Notícias
Estúdios de animação devem atualizar seus sistemas operacionais para RHEL 9, Rocky Linux ou AlmaLinux 9
Estúdios de animação devem atualizar seus sistemas operacionais para RHEL 9, Rocky Linux ou AlmaLinux 9
Notícias
como-instalar-o-backup-ludusavi-no-linux
Como instalar a ferramenta de backup Ludusavi no Linux!
Apps para Linux
FSearch 0.2 melhora pesquisa e acaba com suporte ao snap
FSearch 0.2 melhora pesquisa e acaba com suporte ao snap
Notícias
Lost your password?