Google ajudará tecnologia de código aberto a combater ataques cibernéticos
Numa altura em que os ciberataques acontecem com cada vez mais frequência, a Google anunciou uma nova ferramenta de segurança com o objetivo de aumentar a segurança do software de código aberto.
O Software Open Source (OSS) assegurado permitirá que os usuários incorporem os próprios pacotes de segurança do Google em seus próprios fluxos de trabalho.
O software de código aberto continua sendo um alvo popular para ataques de segurança e, como o Google observa em seu anúncio, houve um aumento maciço de 650% ano a ano no número de ataques cibernéticos direcionados a fornecedores de código aberto. Visto que as cadeias de suprimentos de software geralmente utilizam código-fonte aberto para permanecerem acessíveis e fáceis de personalizar, elas são especialmente vulneráveis a esses tipos de ataques.
O Google está longe de ser a única entidade a abordar o fato de que o software de código aberto, apesar de seus inúmeros benefícios, pode ser facilmente abusado. A empresa, juntamente com o OpenSSF e a Linux Foundation, está acompanhando as iniciativas de segurança apresentadas durante a recente Cúpula da Casa Branca sobre Segurança de Código Aberto. A Microsoft também anunciou recentemente uma nova iniciativa baseada em segurança cibernética .
Houve inúmeras vulnerabilidades de segurança cibernética de alto perfil no passado recente, como Log4j e Spring4shell. Em uma tentativa de impedir que tais ataques ocorram, o Google agora introduziu o Assured OSS.
Como parte do Assured OSS, o Google espera permitir que usuários do setor empresarial e do setor público trabalhem com os pacotes do Google OSS em seus próprios fluxos de trabalho de desenvolvedor. Em seu próprio lado, a empresa promete que os pacotes selecionados pelo serviço serão regularmente verificados, testados e analisados para garantir que nenhuma vulnerabilidade consiga escapar das defesas.
Todos os pacotes serão criados com o Cloud Build do Google e, portanto, virão com conformidade verificável com SLSA. SLSA significa Níveis de Cadeia de Suprimentos para Artefatos de Software e é uma estrutura bem conhecida que visa padronizar a segurança das cadeias de suprimentos de software. Cada pacote também será assinado de forma verificável pelo Google e virá com metadados correspondentes incorporando os dados de análise de contêiner/artefato do Google.
Para focar ainda mais a segurança cibernética, o Google também anunciou uma nova parceria com a SNYK, uma plataforma israelense de segurança para desenvolvedores. O OSS garantido será integrado às soluções SNYK desde o início, permitindo que os clientes de ambas as empresas se beneficiem.
O Google apontou uma estatística impressionante: dentro dos 550 projetos de código aberto mais comuns que verifica regularmente, conseguiu encontrar mais de 36.000 vulnerabilidades em janeiro de 2022. Só isso mostra o quão importante é reprimir a vulnerabilidade desses projetos, visto que o software de código aberto é popular, necessário e definitivamente veio para ficar. Talvez o Assured OSS do Google possa torná-lo mais seguro para todos que se beneficiam dele.
