Pour réduire le risque de vulnérabilités de la chaîne d’approvisionnement logicielle dans les logiciels open source, Google prévoit de publier ses propres packages et bibliothèques open source vérifiés pour que d’autres organisations puissent les utiliser.
La société a fait cette annonce sur son blog Google Cloud, affirmant que son nouveau service Assured Open Source Software (Assured OSS) permettra aux utilisateurs des entreprises et du secteur public d’intégrer les mêmes progiciels open source que Google intègre avec leurs propres workflows de développement.
Le nouveau service cloud de Google, dont la préversion est prévue au troisième trimestre 2022, intervient au milieu d’une recrudescence des cyberattaques ciblant l’open source. Les exemples récents incluent les attaques visant à exploiter la vulnérabilité Log4j2 contre ce framework de journalisation open source basé sur Java qui est courant sur les serveurs Web Apache. Mais ce n’est pas la seule chose. Le fournisseur de gestion de la chaîne d’approvisionnement en logiciels Sonatype a déclaré dans son rapport sur l’état de la chaîne d’approvisionnement en logiciels que les cyberattaques contre les fournisseurs open source ont augmenté de 650 % d’une année sur l’autre en 2021.
De plus, les entreprises utilisent désormais de plus en plus de logiciels open source, une tendance qui s’est accélérée pendant la pandémie, selon le rapport 2022 sur l’état de l’entreprise open source de Red Hat et un article de blog du président et PDG de Red Hat, Paul Cormier. En fait, l’enquête a révélé que 80 % des responsables informatiques s’attendent à accroître leur utilisation de logiciels d’entreprise open source pour les technologies émergentes.
Google n’est certainement pas seul dans ses efforts pour corriger les vulnérabilités open source. La Fondation Linux et l’Open Software Security Foundation ont récemment publié un plan pour sécuriser les logiciels open source avec le soutien de 37 entreprises, dont Amazon, Google et Microsoft.
OSS assuré par Google
Dans son blog annonçant la sortie d’Assured OSS, Andy Chang, chef de produit du groupe pour la sécurité et la confidentialité, a écrit : « Google reste l’un des plus grands mainteneurs, contributeurs et utilisateurs d’open source et est profondément engagé dans la création de l’open source écosystème source plus sécurisé grâce à des efforts tels que l’Open Source Security Foundation (OpenSSF), la base de données Open Source Vulnerabilities (OSV) et OSS-Fuzz.
Chang a noté que la sortie par Google d’Assured OSS faisait suite à d’autres initiatives de sécurité open source dont la société avait discuté lors d’un sommet de la Maison Blanche sur la sécurité open source en janvier.
« Le code logiciel open source est accessible au public gratuitement pour être utilisé, modifié ou inspecté par n’importe qui », a écrit Kent Walker, président des affaires mondiales de Google et de la société mère Alphabet, dans un article de blog en janvier. « Parce que l’open source est disponible gratuitement, il facilite l’innovation collaborative et le développement de nouvelles technologies pour résoudre des problèmes communs. Pour cette raison, de nombreux aspects des infrastructures critiques et des systèmes de sécurité nationale l’incluent.
Mais même avec cette approche, comme l’a noté Walker, il peut y avoir des problèmes.
« Il n’y a pas d’allocation officielle de ressources et peu d’exigences ou de normes formelles pour maintenir la sécurité de ce code critique », a-t-il écrit. « En fait, la plupart du travail pour maintenir et améliorer la sécurité de l’open source, y compris la correction des vulnérabilités connues, est effectué sur une base ad hoc et volontaire. »
Cela soulève des inquiétudes majeures quant à l’introduction de vulnérabilités qui pourraient être exploitées. Alors que certains projets open source ont « beaucoup d’yeux » qui travaillent dessus, à la recherche de problèmes, certains projets ne le font pas, a noté Walker.
Parallèlement à l’annonce d’Assured OSS, Google Cloud a également annoncé une collaboration avec Snyk, une plateforme de sécurité pour les développeurs. Google a déclaré qu’Assured OSS sera intégré de manière native dans les solutions Snyk pour que les clients communs puissent l’utiliser lors du développement de code. De plus, les vulnérabilités de synchronisation, les actions de déclenchement et les recommandations de correction seront mises à la disposition des clients communs dans les outils de cycle de vie de sécurité et de développement logiciel de Google Cloud afin d’améliorer l’expérience des développeurs, a déclaré Google.
La collaboration répond à l’une des principales préoccupations exprimées lors de la réunion de janvier à la Maison Blanche : prévenir les failles de sécurité et les vulnérabilités dans le code et les packages open source, améliorer le processus de recherche et de correction des bogues et réduire le temps de réponse pour la distribution et la mise en œuvre des correctifs.
Que lire ensuite :
À quoi pourrait ressembler la politique de confidentialité fédérale si elle est adoptée
Meilleures pratiques pour mesurer le succès de l’investissement numérique
Avec la montée en flèche de l’inflation, est-il temps de renoncer aux nouvelles initiatives informatiques ?
Le post Google Cloud propose des logiciels open source testés pour la sécurité est apparu en premier sur Germanic News.