Google will "gehärtete" Open-Source-Software vertreiben

18. Mai 2022, 12:45
  • security
  • open source
  • Software-Anbieter
  • google
  • cloud
image

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

Google hat an seinem Cloud-Security-Summit die Lancierung eines neuen Google-Cloud-Services namens " Assured Open Source Software"-Service angekündigt. Assured OSS soll im 3. Quartal dieses Jahres als Preview veröffentlicht werden. Zum vorgesehenen Pricing für spätere Produktversionen haben wir keine Angaben gefunden.
Untersuchungen zeigen, so Google, dass sich die Zahl der Angriffe auf die Open-Source-Lieferketten in diesem Jahr um 650% erhöht habe. Google engagiert sich freiwillig auch in einigen Open-Source-Projekten, welche die Sicherheit der Open-Source-Lieferkette verbessern wollen. Gleichzeitig, so führt der Internetriese aus, suche man intern mit der Methode des "Fuzz-Testing", auch "fuzzing" genannt, nach OSS-Schwachstellen, um die eigene Sicherheit zu verbessern. Man "fuzze" gegenwärtig 550 der am häufigsten verwendeten Open-Source-Projekte und habe dadurch seit Januar 2022 rund 36'000 Schwachstellen gefunden.
Von diesem Aufwand scheint Google nun auch finanziell profitieren zu wollen. Im Rahmen des Assured-OSS-Service sollen Kunden Open-Source-Pakete angeboten werden, deren Komponenten von Google kontinuierlich überwacht werden. Man werde diese Komponenten regelmässig scannen, analysieren und fuzz-testen, so Google. Die Pakete sollen mittels Googles Cloud-Build zusammengestellt, von Google signiert und nach den Vorgaben des Google-Frameworks "Supply chain Levels for Software Artifacts" verifizierbar sein. Verteilt werden sollen sie aus einer von Google gesicherten und geschützten Artifact Registry.

Loading

Mehr zum Thema

image

Pentagon verteilt seinen riesigen Cloud-Auftrag

Das Verteidigungsministerium musste das grosse Cloud-Projekt neu aufgleisen und umbenennen. Jetzt sind Milliardenzuschläge an Amazon, Google, Microsoft und Oracle gesprochen worden.

publiziert am 9.12.2022
image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Netrics gründet eine eigenständige Consulting Boutique

Die neue Firma namens Aliceblue bietet unter anderem Beratung im Bereich Cloud-Technologie. Das Team besteht aus IT-Veteranen.

publiziert am 8.12.2022