Oramai c’è una consapevolezza sempre maggiore da parte degli sviluppatori, delle aziende e dei governi sui rischi della supply chain nell’ambito software. Garantire la sicurezza del software open source in uso, come dimostrato dalle vulnerabilità su Log4j e Spring4shell e dal costante aumento di vulnerabilità similari, è diventato uno sforzo enorme da gestire e tale da dover dedicare specifiche risorse.
Google è uno dei più grandi manutentori, contributori ed utilizzatori di software open source. Per questo motivo è attivamente coinvolto nel miglioramento della sicurezza del software open source attraverso l’ Open Source Security Foundation(OpenSSF), l’Open Source Vulnerabilities(OSV) database e l’OSS-Fuzz.
Assured Open Source Software(OSS)
Assured Open Source Software(OSS) è un nuovo prodotto di Google Cloud che permetterà( sarà pubblicamente disponibile entro Q3 2022) alla tua organizzazione di utilizzare gli stessi identici pacchetti OSS che Google usa all’interno dei propri processi di sviluppo. Questi pacchetti OSS, gestiti da Assured OSS:
- vengono regolarmente scansionati, analizzati e testati per possibili vulnerabilità;
- hanno metadata che incorporano informazioni sull’analisi di Container/Artifacts;
- sono costruiti grazie a Cloud Build ed includono evidenze per l’eventuale compliance;
- sono firmati digitalmente da Google per garantirne l’integrità;
- sono distribuiti attraverso Artifact Registry, una piattaforma protetta, sicura e centralizzata.
In pratica, Assured OSS permette alla tua azienda di beneficiare della riduzione della necessità di sviluppare e mantenere sicuro il software open source inserito nelle tue applicazioni. Assured OSS, di fatto, abbatte in maniera sostanziale i rischi della supply chain del software.
Contattaci subito e senza impegno per garantire la sicurezza del tuo software.
Supply Chain Levels for Software Artifact(SLSA)
Google ha centralizzato il controllo ed attivamente garantisce la sicurezza dei pacchetti Open Source che utilizza attraverso Fuzz continui e test di vulnerabilità. Inoltre gestisce i processi di build end-to-end, il deploy e la distribuzione dell’OSS. Basandosi su consolidate best practice, Google ha creato un proprio SLSA framework, vale a dire un framework di sicurezza volto a prevenire problemi nel software, migliorarne l’integrità e passare dal concetto di sicurezza al concetto di resilienza nell’ambito della supply chain del software.
L’onere di tale processo è completamente di Google e tu potrai beneficiare del SLSA framework di Google all’interno dei tuoi processi di sviluppo e deploy.
Contattaci subito e senza impegno per garantire la sicurezza del tuo software.
Glue Labs e la Sicurezza del Software
Ti supportiamo nel test e nel fuzzing del tuo software, inoltre ti permettiamo di migliorare la sicurezza delle tue applicazioni attraverso migrazione su Google Cloud e integrazione di strumenti come Assured OSS e Security Command Center(SCC) nelle tue soluzioni ed architetture. Siamo Google Cloud Partner e grazie all’esperienza maturata in tantissimi settori, con numerosi Clienti e con un solido gruppo aziendale ti forniamo la consulenza e l’assistenza per migliorare la sicurezza delle tue applicazioni Web, Mobile e Desktop. Contattaci subito e senza impegno per maggiori informazioni.