Développeurs : Google Cloud pousse Assured OSS

Google Cloud rapport sécurité minage

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins. Son but : limiter la diffusion de vulnérabilités.

Pour renforcer la sécurité de la chaîne d’approvisionnement des logiciels open source, Google Cloud lance le service Assured Open Source Software. « Assured OSS permet aux entreprises clientes de bénéficier directement des capacités et des pratiques de sécurité approfondies et de bout en bout que nous appliquons à notre propre portefeuille OSS », explique dans un billet de blog Andy Chang, responsable produit groupe, sécurité et confidentialité, chez Google.

Le programme est ainsi conçu pour les sociétes et les administrations publiques qui souhaitent intégrer « facilement » les mêmes packages OSS que ceux utilisés par Google dans leurs propres flux de travail orientés développeurs. L’objectif affiché est de réduire le temps que les organisations consacrent au développement, à la maintenance et à l’exploitation d’un processus complexe de gestion sécurisée des dépendances open source.

Sécuriser la chaîne d’approvisionnement logicielle

Actuellement, 550 grandes bibliothèques open source sont scrutées en continu par Google. Elles sont disponibles sur GitHub et peuvent être téléchargées indépendamment. Avec Assured OSS, il est possible d’intégrer des versions auditées et distribuées via Google Cloud.

Et ce pour réduire le risque de diffusion de vulnérabilités à travers des dépendances tierces et open source. Pour ce faire, les packages scrutés par Assured OSS sont régulièrement analysés et testés, signés et distribués à partir d’un registre des artefacts sécurisé et protégé par la firme californienne. L’analyse des vulnérabilités des conteneurs est incluse.

Assured OSS devrait être disponible en « preview » au troisième trimestre 2022.

Aussi, dans le cadre d’un partenariat entre Google Cloud et Snyk, Assured OSS sera nativement intégré dans les solutions de l’éditeur basé à Boston (Massachusetts). L’offre de Snyk permet de sécuriser les composants critiques du développement logiciel : code source, bibliothèques open source, bien sûr, conteneurs et infrastructure as code.

Ces annonces délivrées lors du Google Cloud Security Summit du 17 mai s’inscrivent dans le cadre d’autres actions menées par l’écosystème open source. Ses promoteurs veulent mieux sécuriser la chaîne l’approvisionnement des logiciels, à travers notamment le framework « Supply chain Levels for Software Artifacts » (ou SLSA qui se prononce salsa).

(crédit photo © ZinetroN – Adobe Stock)