Pour gérer vos consentements :

Développeurs : Google Cloud pousse Assured OSS

Pour renforcer la sécurité de la chaîne d’approvisionnement des logiciels open source, Google Cloud lance le service Assured Open Source Software. « Assured OSS permet aux entreprises clientes de bénéficier directement des capacités et des pratiques de sécurité approfondies et de bout en bout que nous appliquons à notre propre portefeuille OSS », explique dans un billet de blog Andy Chang, responsable produit groupe, sécurité et confidentialité, chez Google.

Le programme est ainsi conçu pour les sociétes et les administrations publiques qui souhaitent intégrer « facilement » les mêmes packages OSS que ceux utilisés par Google dans leurs propres flux de travail orientés développeurs. L’objectif affiché est de réduire le temps que les organisations consacrent au développement, à la maintenance et à l’exploitation d’un processus complexe de gestion sécurisée des dépendances open source.

Sécuriser la chaîne d’approvisionnement logicielle

Actuellement, 550 grandes bibliothèques open source sont scrutées en continu par Google. Elles sont disponibles sur GitHub et peuvent être téléchargées indépendamment. Avec Assured OSS, il est possible d’intégrer des versions auditées et distribuées via Google Cloud.

Et ce pour réduire le risque de diffusion de vulnérabilités à travers des dépendances tierces et open source. Pour ce faire, les packages scrutés par Assured OSS sont régulièrement analysés et testés, signés et distribués à partir d’un registre des artefacts sécurisé et protégé par la firme californienne. L’analyse des vulnérabilités des conteneurs est incluse.

Assured OSS devrait être disponible en « preview » au troisième trimestre 2022.

Aussi, dans le cadre d’un partenariat entre Google Cloud et Snyk, Assured OSS sera nativement intégré dans les solutions de l’éditeur basé à Boston (Massachusetts). L’offre de Snyk permet de sécuriser les composants critiques du développement logiciel : code source, bibliothèques open source, bien sûr, conteneurs et infrastructure as code.

Ces annonces délivrées lors du Google Cloud Security Summit du 17 mai s’inscrivent dans le cadre d’autres actions menées par l’écosystème open source. Ses promoteurs veulent mieux sécuriser la chaîne l’approvisionnement des logiciels, à travers notamment le framework « Supply chain Levels for Software Artifacts » (ou SLSA qui se prononce salsa).

(crédit photo © ZinetroN – Adobe Stock)

Recent Posts

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

2 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

7 heures ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

24 heures ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

24 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

1 jour ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

1 jour ago