Casi un año después del anuncio inicial, Assured OSS de Google ya está disponible para el público en general. Así, también se aclaró el tema del precio, que al principio seguía abierto: el servicio es gratuito. Ofrece paquetes de código abierto que se escanean en busca de vulnerabilidades utilizando una variedad de métodos para la integración en el flujo de trabajo de desarrollo de software.
Para comenzar, Assured OSS ofrece más de 1000 paquetes de código abierto probados para Java y Python. Según Google, estos son los mismos paquetes que la empresa utiliza internamente para sus proyectos de software. La selección incluye principalmente software de uso frecuente como TensorFlow, pandas y scikit-learn.
Métodos de detección de vulnerabilidades
Assured OSS tiene como objetivo mejorar la seguridad de la cadena de suministro de software con paquetes verificados y firmados. Para verificar las vulnerabilidades, los paquetes se someten a un análisis de código estático y dinámico, y Google también usa un fusible. Alimenta los programas que se probarán con entradas deliberadamente aleatorias o ilógicas, revelando así superficies de ataque que los evaluadores humanos ignoran cuando usan datos más o menos razonables para las pruebas.
Leer también
Por ejemplo, la ofuscación se puede usar para detectar el desbordamiento del búfer causado por entradas inesperadas. Google está ejecutando un archivo Repositorio de Github sobre tecnología de prueba. La empresa presentó OSS Fuzz en 2016, seguida de ClusterFuzz en 2019 y su filial ClusterFuzzLite en 2021.
Paquetes firmados que contienen datos SBOM
Google firma todos los binarios y metadatos para que las empresas puedan estar seguras de que incluyen paquetes sin modificar en su proceso de compilación. Los paquetes en Assured OSS contienen metadatos en listas de materiales (SBOM) en formato SPDX (Software Package Data Exchange) y VEX (Vulnerability Exploitable Exchange).
Puede encontrar más detalles sobre Assured OSS en el blog de Google Cloud. Casi al mismo tiempo, Google anunció la API deps.dev, que también tiene como objetivo proteger la cadena de suministro de software al proporcionar una descripción general de las dependencias en los paquetes de código abierto y las posibles vulnerabilidades.
(República de Macedonia)
More Stories
Lanzamiento de un nuevo juego de cartas coleccionables para Android e iOS
En retrospectiva en Apple: ya no hay MacBooks con 8GB de RAM
En lugar de la descripción general de audio NotebookLM de Google: Meta trae NotebookLlama