mayo 26, 2024

CORSA Online

Información sobre Argentina. Seleccione los temas sobre los que desea obtener más información en Corsa Online

La promesa de seguridad de Google para el software de código abierto: OSS asegurado

La promesa de seguridad de Google para el software de código abierto: OSS asegurado

Casi un año después del anuncio inicial, Assured OSS de Google ya está disponible para el público en general. Así, también se aclaró el tema del precio, que al principio seguía abierto: el servicio es gratuito. Ofrece paquetes de código abierto que se escanean en busca de vulnerabilidades utilizando una variedad de métodos para la integración en el flujo de trabajo de desarrollo de software.

Para comenzar, Assured OSS ofrece más de 1000 paquetes de código abierto probados para Java y Python. Según Google, estos son los mismos paquetes que la empresa utiliza internamente para sus proyectos de software. La selección incluye principalmente software de uso frecuente como TensorFlow, pandas y scikit-learn.

Assured OSS tiene como objetivo mejorar la seguridad de la cadena de suministro de software con paquetes verificados y firmados. Para verificar las vulnerabilidades, los paquetes se someten a un análisis de código estático y dinámico, y Google también usa un fusible. Alimenta los programas que se probarán con entradas deliberadamente aleatorias o ilógicas, revelando así superficies de ataque que los evaluadores humanos ignoran cuando usan datos más o menos razonables para las pruebas.

Leer también

Por ejemplo, la ofuscación se puede usar para detectar el desbordamiento del búfer causado por entradas inesperadas. Google está ejecutando un archivo Repositorio de Github sobre tecnología de prueba. La empresa presentó OSS Fuzz en 2016, seguida de ClusterFuzz en 2019 y su filial ClusterFuzzLite en 2021.

Google firma todos los binarios y metadatos para que las empresas puedan estar seguras de que incluyen paquetes sin modificar en su proceso de compilación. Los paquetes en Assured OSS contienen metadatos en listas de materiales (SBOM) en formato SPDX (Software Package Data Exchange) y VEX (Vulnerability Exploitable Exchange).

READ  Con este truco podrás averiguar quién guardó tu número de celular

El OSS probado tiene como objetivo evitar las trampas típicas de la cadena de suministro de software.

(foto: google)

Puede encontrar más detalles sobre Assured OSS en el blog de Google Cloud. Casi al mismo tiempo, Google anunció la API deps.dev, que también tiene como objetivo proteger la cadena de suministro de software al proporcionar una descripción general de las dependencias en los paquetes de código abierto y las posibles vulnerabilidades.


(República de Macedonia)

a la página de inicio