Googleは、オープンソースの技術者によるサイバー攻撃との戦いを支援します

サイバー攻撃の頻度が高まる中、Googleはオープンソースソフトウェアの安全性を高めることを目的とした新しいセキュリティツールを発表しました。

Assured Open Source Software(OSS)により、ユーザーはGoogle独自のセキュリティパッケージを独自のワークフローに組み込むことができます。

ロックされたキーボードを表すためにキーボードに配置された物理ロック。
ピランカ/ゲッティイメージズ

オープンソースソフトウェアは引き続きセキュリティ攻撃の人気のあるターゲットであり、Googleが発表で指摘しているように、オープンソースサプライヤーを狙ったサイバー攻撃の数は前年比で650%も大幅に増加しています。ソフトウェアサプライチェーンは、アクセス可能でカスタマイズが容易なままであるためにオープンソースコードを利用することが多いため、これらの種類の攻撃に対して特に脆弱です。

オープンソースソフトウェアは、その豊富な利点にもかかわらず、簡単に悪用される可能性があるという事実に対処する唯一のエンティティではありません。同社は、OpenSSFおよびLinux Foundationとともに、最近のオープンソースセキュリティに関するホワイトハウスサミットで提起されたセキュリティイニシアチブをフォローアップしています。マイクロソフトは最近、新しいサイバーセキュリティベースのイニシアチブも発表しました。

Log4jやSpring4shellなど、最近注目を集めているサイバーセキュリティの脆弱性は数多くあります。このような攻撃の発生を防ぐために、GoogleはAssuredOSSを導入しました。

Assured OSSの一部として、Googleは、企業部門と公共部門の両方のユーザーがGoogleOSSパッケージを独自の開発者ワークフローに組み込むことができるようにしたいと考えています。同社は独自に、サービスによってキュレートされたパッケージを定期的にスキャン、ファジングテスト、分析して、脆弱性が防御をすり抜けないようにすることを約束しています。

すべてのパッケージはGoogleのCloudBuildでビルドされるため、検証可能なSLSA準拠が付属します。 SLSAは、ソフトウェアアーティファクトのサプライチェーンレベルの略で、ソフトウェアサプライチェーンのセキュリティを標準化することを目的としたよく知られたフレームワークです。すべてのパッケージは、Googleによって検証可能に署名され、Googleのコンテナ/アーティファクト分析データを組み込んだ対応するメタデータが付属します。

コードを使用してシステムに侵入したハッカーの描写。
ゲッティイメージズ

サイバーセキュリティにさらに焦点を当てるために、Googleはイスラエルの開発者セキュリティプラットフォームであるSNYKとの新しいパートナーシップも発表しました。 Assured OSSは、最初からSNYKソリューションに統合され、両社の顧客が利益を得ることができるようになります。

Googleは驚異的な統計を指摘しました。定期的にスキャンする550の最も一般的なオープンソースプロジェクト内で、2022年1月の時点で36,000を超える脆弱性を見つけることができました。それだけで、これらの脆弱性を取り締まることがいかに重要であるかを示しています。プロジェクトは、オープンソースソフトウェアとして人気があり、必要とされており、間違いなくここにとどまります。おそらく、GoogleのAssured OSSは、その恩恵を受けるすべての人にとってより安全なものにすることができます。