Google запускает команду технического обслуживания открытого ПО

Вчера на саммите Open Source Security Summit в Белом доме корпорация Google вместе с организациями Open Source Security Foundation (OpenSSF), Linux Foundation и другими лидерами отрасли обсудила решения в области безопасности ПО с открытым исходным кодом и объявила о запуске Команды технического обслуживания с открытым исходным кодом Open Source Maintenance Crew.

Команда технического обслуживания представляет собой команду разработчиков, работающих над обеспечением безопасности проектов с открытым исходным кодом, начиная с ужесточения конфигураций и заканчивая развертыванием обновлений. Новая группа разработчиков поможет смягчить угрозы кибербезопасности крупных предприятий и повысить общую безопасность цепочки поставок ПО.

Такой шаг связан с ростом опасений по поводу уязвимостей ПО с открытым исходным кодом и волной взломов через уязвимость Log4j . Google решила повысить безопасность из-за увеличения количества кибератак на цепочку поставок на 650% в 2021 году. Нововведение также связано с призывом бывших инженеров Google, в настоящее время работающих в Chainguard , стандартизировать проекты с открытым исходным кодом в сервисе Sigstore для создания универсального стандарта для подписи, проверки и защиты программного обеспечения.

«Даже при большом финансировании нам нужен потенциал, чтобы направить эти деньги на правильные цели. Для эффективного решения проблемы Google предоставила ресурсы команде Open Source Maintenance Crew с идеей, что такая организация, как OpenSSF, может управлять группой и сервером в качестве партнера для критически важных проектов», - сказал главный инженер Google по безопасности с открытым исходным кодом Абхишек Арья.

По словам Арьи, команде будет поручено ужесточить настройки безопасности:

• подкрепить зависимости;
• добавить автоматические обновления зависимостей для защиты от распространенных атак в цепочке поставок;
• расширить возможности группы реагирования на инциденты безопасности OpenSSF для оказания поддержки в критических ситуациях.

Одной из ключевых причин увеличения мер безопасности ПО с открытым исходным кодом является рост рынка open-source услуг. Согласно ожиданиям исследователей, к 2026 году объем рынка достигнет $50 млрд., а совокупный годовой темп роста составит 18,2%. Более того, за последние несколько недель многие частные компании выделили значительные средства на инструменты обеспечения безопасности цепочки поставок программного обеспечения.

Во всей технологической отрасли крупные компании Google, Chainguard, Socket и Phylum прилагают совместные усилия, чтобы предприятия могли доверять ПО с открытым исходным кодом для цепочек поставок.