گوگل ابزار جدیدی برای افزایش امنیت پروژههای متنباز معرفی کرد
گوگل نرمافزار منبعباز (Open Source Software یا بهاختصار OSS) جدیدی معرفی کرده است که به کاربران اجازه میدهد بستههای امنیتی این شرکت را در پروژههای خود اعمال کنند.
همانطور که DigitalTrends اشاره میکند، نرمافزارهای منبعباز همچنان اهداف محبوبی برای مجرمان سایبری هستند و همانطور که گوگل در اعلامیهی خود اشاره کرده است، تعداد حملههای سایبری به تأمینکنندگان منبعباز، سالانه ۶۵۰ درصد افزایش یافته است. زنجیرههای تأمین نرمافزار اغلب از کد منبعباز استفاده میکنند تا همیشه دردسترس باقی بمانند و سفارشیسازی کدهای آنها نیز آسان باشد؛ بههمین دلیل این زنجیرهها دربرابر حملات سایبری آسیبپذیر هستند.
البته گوگل تنها شرکتی نیست که درزمینهی مقابله با حملات سایبری به نرمافزارهای منبعباز فعالیت میکند. این شرکت در کنار OpenSSF و بنیاد لینوکس درحال پیگیری ابتکارات امنیتی جدیدی است که در اجلاس اخیر کاخسفید درمورد امنیت منبعباز مطرح شد. مایکروسافت نیز بهتازگی راهکار جدیدی برای امنیت سایبری مطرح کرده است.
درگذشته، آسیبپذیریهای امنیتی سایبری پرمخاطبی مثل Log4j و Spring4Shell وجود داشت. گوگل در تلاش برای جلوگیری از وقوع چنین حملاتی، اکنون Assured OSS را معرفی کرده است.
گوگل امیدوار است با Assured OSS امکان استفاده از بستههای OSS خود را برای کاربران سازمانی و همچنین کاربران عادی فراهم کند. از سوی دیگر، این شرکت قول میدهد که بستههای مدیریتشدهی این سرویس بهطور منظم اسکن، آزمایش و تجزیهوتحلیل شوند تا اطمینان حاصل کند که هیچ آسیبپذیری نمیتواند از خط دفاعی آن عبور کند.
همهی بستههای امنیتی گوگل با سرویس Cloud Build این شرکت ساخته میشوند و بنابراین با سازگاری قابل تأیید ارائه خواهند شد. SLSA مخفف Supply-chain Levels for Software Artifacts است؛ چارچوب شناخته شدهای که هدف آن استانداردسازی امنیت زنجیرههای تأمین نرمافزار است. هر بسته همچنین با تأییدیهی گوگل امضا و با ابردادهی مرتبط و همچنین دادههای تجزیهوتحلیل گوگل ارائه میشود.
گوگل برای تمرکز بیشتر بر امنیت سایبری، همکاری جدیدی با SNYK (یک پلتفرم امنیتی توسعهدهندگام) آغاز کرده است. OSS از همان ابتدا با راهکارهای SNYK ادغام میشود و درنتیجه مشتریان هر دو شرکت میتوانند از آن بهره ببرند.
گوگل همچنین به آماری خیرهکننده اشاره کرد؛ تا ژانویه ۲۰۲۲ از میان ۵۵۰ پروژهی منبعباز رایج که بهطور منظم اسکن میشوند، بیش از ۳۶ هزار آسیبپذیری کشف شده است. این آمار بهتنهایی نشان میدهد که مهار کردن آسیبپذیریها در جامعهی منبعباز چقدر اهمیت دارد. مطمئناً بسیاری از کاربران و حتی سازمانها به پروژههای منبعباز محبوب نیاز دارند و شاید Assured OSS گوگل بتواند این پروژهها را برای همهی افرادی از آنها استفاده میکنند، ایمنتر کند.