Google推出兩款保護開源軟體供應鏈安全的工具,其一是發布deps.dev API,供開發者免費存取deps.dev資料集,該資料集含有超過5,000萬個開源軟體套件版本的安全後設資料,另外,Google雲端的Assured OSS服務也正式開放,用戶可以方便取用經Google安全驗證過的開源套件。
如今,軟體開發高度仰賴開源專案,因此一旦開源軟體存在漏洞,便可能導致諸如Log4j、Codecov和3CX等攻擊事件,開發者如能取得更多開源專案的資訊,包括相依項目、授權和各種安全訊號資料,有效掌握並修復所使用套件的漏洞,同時使用經過驗證的可信賴套件,將有助大幅減少軟體供應鏈攻擊所帶來的安全風險。
Google的deps.dev資料集便是收集,來自Go、Maven、PyPI、npm和Cargo等5大軟體打包生態系的套件後設資料,涵蓋5,000萬個套件版本,並且從套件註冊表、開源漏洞管理資料庫、程式碼託管服務和軟體構件本身等來源更新相關資料集內容。
Google收集並且匯總這些資料,產生遞移相依關係圖、安全諮詢報告、OpenSSF安全計分卡等資訊,用戶不僅可以直接從deps.dev網站人工查詢,或是以雲端資料倉儲服務BigQuery進行大規模批次分析,現在還可以使用新推出的API,以程式開發方法即時存取資料集,並在自家工具、工作流程和分析中使用這些安全性資料。
透過釋出deps.dev API,可讓企業在更多層面把關軟體安全性,像是開發IDE擴充套件、整合至CI/CD,也能夠在建置工具或是政策引擎整合deps.dev API,確保軟體符合法遵要求,甚至是繪製出相依關係圖,以視覺化的方式呈現系統相依性。Google在2022年所開源的軟體安全性評估工具GUAC便是使用該API,以deps.dev資料補充SBOM(Software Bill of Materials)。
API提供deps.dev網站所沒有的兩個重要功能,首先deps.dev API支援雜湊查詢,透過查詢檔案內容的雜湊,可以找到所有包含該檔案的套件版本,該功能可以協助用戶在即便沒有其他建置後設資料的情況下,找到正在使用的套件版本,這對於軟體供應鏈安全、容器分析、事件回應和數位鑑識上都非常有用。
另一個deps.dev API重要功能,便是提供完整的相依圖,Google提到,deps.dev的相依資料不僅是採用套件的宣告資料,也用和套件工具相同的演算法計算相依關係,因此deps.dev API能夠提供一組完整且真實的相依項目圖,相當於開發者實際安裝軟體套件時得到的結果,透過deps.dev API開發者就可以評估、監控和視覺化預期的相依關係。
Google另一個提高開源軟體安全性的作為,便是正式推出Assured OSS服務,該服務目前免費,可協助企業獲取通過Google安全檢驗的套件,進而降低軟體供應鏈攻擊的風險。Google會定期掃描和修復Assured OSS軟體庫中存在漏洞的套件,並且以產業標準提供SBOM,使用戶能夠更好地掌握所使用的套件組成。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19