گوگل ابزار جدیدی را برای افزایش امنیت پروژه های متن باز معرفی کرده است

گوگل نرم افزار منبع باز (OSS) جدیدی را معرفی کرده است که به کاربران امکان می دهد بسته های امنیتی این شرکت را در پروژه های خود اعمال کنند.

همانطور که DigitalTrends اشاره می کند، نرم افزار منبع باز همچنان یک هدف محبوب برای مجرمان سایبری است و همانطور که گوگل در بیانیه ای اعلام کرد، تعداد حملات سایبری علیه فروشندگان منبع باز سالانه 650 درصد افزایش یافته است. زنجیره‌های تامین نرم‌افزار اغلب از منبع باز استفاده می‌کنند تا آن را در دسترس نگه دارند و سفارشی‌سازی آن آسان باشد. به همین دلیل، این زنجیره ها در برابر حملات سایبری آسیب پذیر هستند.

البته گوگل تنها شرکتی نیست که برای مقابله با حملات سایبری علیه نرم افزارهای منبع باز تلاش می کند. این شرکت، همراه با OpenSSF و بنیاد لینوکس، ابتکارات امنیتی جدیدی را دنبال می کند که در نشست اخیر کاخ سفید منبع باز مورد بحث قرار گرفت. مایکروسافت نیز اخیرا راه حل جدیدی برای امنیت سایبری معرفی کرده است.

در گذشته، آسیب‌پذیری‌های امنیت سایبری محبوبی مانند Log4j و Spring4Shell وجود داشت. در تلاش برای جلوگیری از چنین حملاتی، گوگل قبلا Assured OSS را معرفی کرده است.

گوگل امیدوار است که با Assured OSS بتواند از بسته های OSS خود برای کاربران شرکتی و عادی استفاده کند. از سوی دیگر، این شرکت قول می دهد که بسته های خدمات مدیریت شده به طور منظم اسکن، آزمایش و تجزیه و تحلیل شوند تا اطمینان حاصل شود که هیچ آسیب پذیری نمی تواند از خط دفاعی آن عبور کند.

همه بسته‌های امنیتی Google با سرویس Cloud Biuld این شرکت ساخته شده‌اند و بنابراین با سازگاری قابل تأیید ارائه می‌شوند. SLSA به معنای سطوح زنجیره تامین برای مصنوعات نرم افزاری است. یک چارچوب شناخته شده که هدف آن استانداردسازی امنیت زنجیره های تامین نرم افزار است. هر بسته همچنین با تأیید Google امضا شده است و دارای ابرداده های مرتبط و همچنین داده های Google Analytics است.

برای تمرکز بیشتر بر امنیت سایبری، گوگل همکاری جدیدی را با SNYK (یک پلت فرم امنیتی گام به گام) راه اندازی کرده است. OSS از ابتدا با راه حل های SNYK یکپارچه شده است تا مشتریان هر دو شرکت بتوانند از آن بهره مند شوند.

گوگل همچنین به آمار خیره کننده ای اشاره می کند. تا ژانویه 2022، بیش از 36000 آسیب پذیری از 550 پروژه روتین منبع باز شناسایی شده بود که به طور منظم اسکن می شدند. فقط این آمار نشان می دهد که حفظ آسیب پذیری ها در جامعه منبع باز چقدر مهم است. البته بسیاری از کاربران و حتی سازمان‌ها به پروژه‌های منبع باز محبوب نیاز دارند و شاید Google Assured OSS بتواند این پروژه‌ها را برای هرکسی که از آن‌ها استفاده می‌کند امن‌تر کند.