Google: Ето го нашият „Екип за поддръжка на отворен код“

Google създаде нов „Екип за поддръжка на отворен код“, който ще помага на поддържащите нагоре по веригата критични проекти с отворен код да се справят с грешки и процеси на корекция.

Новият екип е част от приноса на Google към стремежа на Белия дом да подобри киберсигурността в отворен код и да защити веригите за доставка на софтуер след Януарската среща на върха на Белия дом с големи доставчици на технологии, включително Microsoft, Google, IBM и Amazon Web Services.

Тогава президентът Джо Байдън подписа изпълнителна заповед, която

изисква правителството да предостави спецификация на софтуера (SBOM) който детайлизира връзките на веригата за доставки на компоненти, използвани в изграждането на софтуер.

ВИЖ: Сигурност на облачните изчисления: Новите насоки имат за цел да предпазят вашите данни от кибератаки и пробиви

Google казва, че новият екип за поддръжка се състои от специален екип от инженери на Google, които ще работят с поддържащите нагоре по веригата критични проекти с отворен код.

„Един проблем, често цитиран от поддържащите отворен код, е ограниченото време. Тъй като недостатъчно поддържаните критични компоненти с отворен код са риск за сигурността, Google създава нов екип за поддръжка на отворен код, специализиран персонал от инженери на Google, който ще работи в тясно сътрудничество с поддържащите нагоре по веригата за подобряване на сигурността на критичен отворен код проекти," казаха Ерик Брюър и Абишек Аря от Google в публикация в блог.

Google обяви екипа за сигурност с отворен код на миналата седмица „Среща на върха за сигурността на софтуера с отворен код II“, домакин на White Дом и организиран от The Linux Foundation и Open Source Software Security Foundation (OpenSSF), за да отбележи една година оттогава изпълнителната заповед за киберсигурност, които изискват по-високи стандарти за сигурност, базирани на NIST Защитена рамка за разработка на софтуер (SSDF).

Организациите очерта 150 милиона долара финансиране, необходимо от частния сектор и а План от 10 точки за подобряване на отворения код чрез справяне с оценки на риска, цифрови подписи, изместване на кодирането от C и C++ до безопасни за паметта езици като Rust, Go и Java, отговор на инциденти, сканиране на код и код одити.

Работата на Google за подобряване на сигурността с отворен код и намаляване на рисковете по веригата на доставки преди това включваше 100 милиона долара за подкрепа на групи като OpenSSF за коригиране на грешки в сигурността в отворен код.

Миналата година Google също публикува "Познай, предотврати, поправи" рамка и работи за подобряване на достъпността на инструментите за сигурност чрез инициативи като база данни за уязвимости с отворен код (OSV) и формат на данни. Форматът е приет от Python, Ръжда, и Отивам екосистеми.

Софтуерната фондация на Python, например, създаде консултантската база данни за пакетиране на Python, за да централизира съветите за пакети на Python, публикувани в хранилището на Pypi. Фондация Rust има a подобна база данни за съвети относно пакети Rust Crates. Други бази данни, разчитащи на OSV, включват бази данни за уязвимости, като напр Съвети за сигурност на GitHub (GHSA) и на Cloud Security Alliance Глобална база данни за сигурност.

„Проектът OSV показа, че свързването на CVE към работния процес за разработка на корекции за уязвимости може да бъде трудно без точни метаданни за уязвимостите“, казаха Брюър и Аря от Google.

Те искат да видят констатациите на OSV, разпространени на разработчиците чрез редактори на кодове и на мястото, където разработчиците могат да разположат уязвими работни натоварвания.

От страна на „Познаване“ Google подчертава проекта Security Scorecards, който дава на разработчиците представа за зависимостите, които могат да използват в даден проект. Сега има сканирани карти с резултати на един милион проекта. Стартира и проектът Kubernetes използване на Sigstore за подписване и проверка на своите версии, и прави това част от своите нива на веригата за доставки за софтуерни артефакти, или SLSA, съответствие. SLSA рамката на OpenSFF е въз основа на вътрешните инструменти на Google за проверка на целостта на кода.

„Ан SBOM, създаден с помощта на произход и метаданни на SLSA е по-пълен и адресира както изходния код, така и векторите на заплахи за компилация“, казва Google.

ВИЖ: Разработчикът на Rocky Linux получава финансиране от $26 млн. за тласък на корпоративния отворен код

Други ключови проекти включват този на Google OSS-Fuzz за фъзинг за софтуер с отворен код, което помогна на разработчиците да коригират 2300 пропуска в над 500 проекта през изминалата година,

Компонентът „Коригиране“ беше насочен към премахване на уязвимостите и подобряване на известията, за да помогне за отстраняването недостатъци в най-широко използваните версии на засегнат проект, а не само в най-новите версии.

Част от това е проектът Alpha Omega на OpenSSF, на който Google и Microsoft дадоха първоначални 5 милиона долара за подобряване на сигурността на веригата за доставки. Проектът награди широко използвания проект Node.js от страна на сървъра за изпълнение на JavaScript с $300 000 да се съсредоточи върху коригирането на уязвимостите през 2022 г.

Друг е проектът за защитен отворен код (SOS) на Linux Foundation, която Google подкрепи с 1 милион долара финансиране. SOS предлага до $10 000 награди на разработчиците за софтуер, например. Google също така даде $300 000 на Internet Security Research Group за подобряване на безопасността на паметта чрез въвеждане Rust в ядрото на Linux. Разработчиците на ядрото на Linux са работили върху прави Rust вторият език след C в ядрото през последните две години.