Google hat an seinem Cloud-Security-Summit die Lancierung eines neuen Google-Cloud-Services namens " Assured Open Source Software"-Service angekündigt. Assured OSS soll im 3. Quartal dieses Jahres als Preview veröffentlicht werden. Zum vorgesehenen Pricing für spätere Produktversionen haben wir keine Angaben gefunden.

Untersuchungen zeigen, so Google, dass sich die Zahl der Angriffe auf die Open-Source-Lieferketten in diesem Jahr um 650% erhöht habe. Google engagiert sich freiwillig auch in einigen Open-Source-Projekten, welche die Sicherheit der Open-Source-Lieferkette verbessern wollen. Gleichzeitig, so führt der Internetriese aus, suche man intern mit der Methode des "Fuzz-Testing", auch "fuzzing" genannt, nach OSS-Schwachstellen, um die eigene Sicherheit zu verbessern. Man "fuzze" gegenwärtig 550 der am häufigsten verwendeten Open-Source-Projekte und habe dadurch seit Januar 2022 rund 36'000 Schwachstellen gefunden.

Von diesem Aufwand scheint Google nun auch finanziell profitieren zu wollen. Im Rahmen des Assured-OSS-Service sollen Kunden Open-Source-Pakete angeboten werden, deren Komponenten von Google kontinuierlich überwacht werden. Man werde diese Komponenten regelmässig scannen, analysieren und fuzz-testen, so Google. Die Pakete sollen mittels Googles Cloud-Build zusammengestellt, von Google signiert und nach den Vorgaben des Google-Frameworks "Supply chain Levels for Software Artifacts" verifizierbar sein. Verteilt werden sollen sie aus einer von Google gesicherten und geschützten Artifact Registry.