حدود یک سال پیش، گوگل سرویس نرمافزار منبع باز مطمئن (Assured OSS) خود را معرفی کرد، سرویسی که به توسعهدهندگان کمک میکند تا با اسکن و تجزیه و تحلیل منظم برخی از محبوبترین کتابخانههای نرمافزاری جهان از نظر آسیبپذیری، در برابر حملات امنیتی زنجیره تامین دفاع کنند. امروز، گوگل Assured OSS را با پشتیبانی از بیش از هزار بسته جاوا و پایتون در دسترس عموم قرار می دهد – و در حالی که گوگل در ابتدا قیمت آن را در زمان معرفی این سرویس فاش نکرد، این شرکت اکنون فاش کرده است که این سرویس به صورت رایگان در دسترس خواهد بود. .
توسعه نرمافزار مدتهاست به کتابخانههای شخص ثالث (که اغلب تنها توسط یک توسعهدهنده نگهداری میشوند) بستگی دارد، اما تا زمانی که صنعت با تعدادی اکسپلویت پرمخاطب ضربه خورده بود که همه (از جمله کاخ سفید) به آن علاقه نشان دادند. و شروع به جدی گرفتن امنیت زنجیره تامین نرم افزار کرد. اکنون، نمیتوانید در یک کنفرانس منبع باز شرکت کنید بدون اینکه در مورد صورتحسابهای مواد نرمافزاری (SBOM)، ثبت مصنوعات و موضوعات مشابه بشنوید. پس جای تعجب نیست که گوگل، که مدتها پیش در انتشار محصولات متنباز پیشرو بوده، سرویسی مانند Assured OSS را راهاندازی کرده است.
گوگل قول میدهد که این کتابخانهها را دائماً بهروز نگه میدارد (بدون ایجاد فورک) و بهطور مداوم آسیبپذیریهای شناختهشده را اسکن میکند، آزمایشهای فازی را برای کشف موارد جدید انجام میدهد و سپس این مشکلات را برطرف میکند و این اصلاحات را در بالادست ارائه میکند. این شرکت خاطرنشان می کند که زمانی که برای اولین بار این سرویس را با حدود 250 کتابخانه جاوا راه اندازی کرد، مسئول کشف 48 درصد از CVE های جدید برای این کتابخانه ها و متعاقباً رسیدگی به آنها بود.
از آنجایی که سازمان ها به طور فزاینده ای از OSS برای چرخه های توسعه سریع تر استفاده می کنند، نیاز به اعتماد دارند منابع امن باز کن منبع ملیندا مارکس، تحلیلگر ارشد ESG گفت. «بدون بررسی و راستیآزمایی یا ابرداده مناسب برای کمک به ردیابی دسترسی و استفاده OSS، سازمانها در معرض آسیبپذیریهای امنیتی بالقوه و سایر خطرات در زنجیره تأمین نرمافزار خود قرار میگیرند. با مشارکت با یک تامین کننده قابل اعتماد، سازمان ها می توانند این خطرات را کاهش دهند و از یکپارچگی زنجیره تامین نرم افزار خود برای محافظت بهتر از برنامه های کاربردی تجاری خود اطمینان حاصل کنند.
توسعه دهندگان و سازمان هایی که می خواهند از سرویس جدید استفاده کنند می توانند در اینجا ثبت نام کنند و سپس Assured OSS را در خط لوله توسعه موجود خود ادغام کنند.