Der folgende Artikel hilft Ihnen dabei: Google wird Open-Source-Technologie bei der Bekämpfung von Cyberangriffen unterstützen
In einer Zeit, in der Cyberangriffe immer häufiger vorkommen, kündigte Google ein neues Sicherheitstool an, mit dem Ziel, die Sicherheit von Open-Source-Software zu erhöhen.
Mit Assured Open Source Software (OSS) können Benutzer Googles eigene Sicherheitspakete in ihre eigenen Arbeitsabläufe integrieren.
Open-Source-Software ist nach wie vor ein beliebtes Ziel für Sicherheitsangriffe, und wie Google in seiner Ankündigung feststellt, ist die Zahl der Cyberangriffe auf Open-Source-Anbieter im Jahresvergleich um enorme 650 % gestiegen. Da Software-Lieferketten häufig Open-Source-Code verwenden, um zugänglich und einfach anpassbar zu bleiben, sind sie besonders anfällig für diese Art von Angriffen.
Google ist bei weitem nicht das einzige Unternehmen, das sich mit der Tatsache befasst, dass Open-Source-Software trotz ihrer zahlreichen Vorteile leicht missbraucht werden kann. Das Unternehmen verfolgt zusammen mit OpenSSF und der Linux Foundation die Sicherheitsinitiativen, die während des jüngsten Gipfeltreffens des Weißen Hauses zum Thema Open-Source-Sicherheit vorgebracht wurden. Microsoft hat außerdem kürzlich eine neue Cybersicherheitsinitiative angekündigt.
In der jüngsten Vergangenheit gab es zahlreiche hochkarätige Cybersicherheitslücken, beispielsweise in Log4j und Spring4shell. Um solche Angriffe zu verhindern, hat Google nun Assured OSS eingeführt.
Als Teil von Assured OSS hofft Google, Nutzern sowohl aus dem Unternehmenssektor als auch aus dem öffentlichen Sektor die Möglichkeit zu geben, die Google OSS-Pakete in ihre eigenen Entwickler-Workflows zu integrieren. Das Unternehmen selbst verspricht, dass die vom Dienst kuratierten Pakete regelmäßig gescannt, Fuzz-getestet und analysiert werden, um sicherzustellen, dass keine Schwachstellen die Abwehr überwinden.
Alle Pakete werden mit Googles Cloud Build erstellt und verfügen somit über eine nachweisbare SLSA-Konformität. SLSA steht für Supply-Chain Levels for Software Artifacts und ist ein bekanntes Framework, das darauf abzielt, die Sicherheit von Software-Lieferketten zu standardisieren. Jedes Paket wird außerdem nachweislich von Google signiert und mit entsprechenden Metadaten geliefert, die die Container-/Artefakt-Analysedaten von Google enthalten.
Um die Cybersicherheit noch stärker in den Fokus zu rücken, hat Google außerdem eine neue Partnerschaft mit SNYK angekündigt, einer israelischen Entwickler-Sicherheitsplattform. Assured OSS wird von Anfang an in die SNYK-Lösungen integriert, sodass Kunden beider Unternehmen davon profitieren können.
Google wies auf eine erschreckende Statistik hin: In den 550 häufigsten Open-Source-Projekten, die regelmäßig gescannt werden, konnten mit Stand Januar 2022 mehr als 36.000 Schwachstellen gefunden werden. Das allein zeigt, wie wichtig es ist, gegen diese Schwachstellen vorzugehen Projekte, da Open-Source-Software beliebt ist, benötigt wird und auf jeden Fall bleiben wird. Vielleicht kann Googles Assured OSS es für alle, die davon profitieren, sicherer machen.
