« Assured OSS permet aux entreprises clientes de bénéficier directement des capacités et des pratiques de sécurité approfondies et de bout en bout que nous appliquons à notre propre portefeuille OSS », explique dans un billet de blog Andy Chang, responsable produit sécurité chez Google.
Le service est ainsi conçu pour permettre aux sociétés et aux administrations publiques d’intégrer « facilement » les mêmes packages OSS que ceux utilisés par Google pour leurs propres flux de travail associés aux développeurs. L’objectif affiché est de réduire le temps que les organisations consacrent au développement, à la maintenance et à l’exploitation d’un processus complexe de gestion sécurisée des dépendances open source.
Sécuriser la chaîne d’approvisionnement logicielle
Actuellement, 550 grandes bibliothèques open source sont scrutées en continu par Google. Elles sont disponibles sur GitHub et peuvent être téléchargées indépendamment. Cependant, le service Assured OSS permet d’intégrer des versions auditées et distribuées via Google Cloud.
Et ce pour réduire le risque de diffusion de vulnérabilités à travers des dépendances tierces et open source. Pour ce faire, les packages scrutés par le service Assured OSS sont régulièrement analysés et testés, signés par Google, et distribués à partir d’un registre des artefacts sécurisés et protégés par la firme californienne. L’analyse des vulnérabilités des conteneurs est incluse.
Assured OSS devrait être disponible en « preview » au troisième trimestre 2022.
Aussi, dans le cadre d’un partenariat entre Google Cloud et Snyk, Assured OSS sera nativement intégré dans les solutions Snyk.
L’offre technologique permet de sécuriser les composants critiques du développement logiciel : code source, bibliothèques open source, bien sûr, conteneurs et infrastructure as code.
Ces annonces de Google s’inscrivent dans le cadre d’autres actions accélérées par l’écosystème open source pour mieux protéger la chaîne de l’approvisionnement des logiciels, à travers notamment le framework « Supply chain Levels for Software Artifacts » (ou SLSA qui se prononcer salsa).
(crédit photo © ZinetroN – Adobe Stock)
