Les défis en matière de sécurisation des logiciels open source font parties des défis des entreprises. En réponse à cette situation et pour accélérer l’adoption d’architecture de confiance zéro, Google Cloud vient d’annoncer le déploiement de ses services de sécurité. Il s’agit de l’offre Assured Open Source Software ou OSS. Sa conception a pour but de faciliter la gestion sécurisée des dépendances vis-à-vis des logiciels open source.
Pourquoi Google Cloud aurait-il pris cette mesure ?
Les chaînes d’approvisionnement logicielles se basent souvent sur le code, pour rester flexibles et personnalisables. Malheureusement, elles deviennent une cible populaire pour les cyberattaques alors que les pirates tentent de viser une variété d’industries.
La décision vient après de nombreux incidents de sécurité liés aux logiciels libres, y compris les vulnérabilités. Google s’est approché de OpenSFF et Linux Foundation pour faire avancer les initiatives de sécurités des outils open sources. En fait, le sujet est abordé lors du récent sommet sur la sécurité logicielle de la Maison-Blanche.
Les paquets que gère Assured OSS seront régulièrement scannés, analysés et testés pour les vulnérabilités. Ils auront des métadonnées riches correspondantes qui incluent les détails d’analyse des conteneurs et des artefacts de Google, d’après le géant américain.
Google Cloud Build construira tous les packages introduits dans le nouvel outil. Ils contiendront les preuves vérifiables avec la norme SLSA (Supply Chain Levels for Software Artefacts).
Comment fonctionne l’Assured OSS ?
Google note qu’il analyse en permanence les 550 projets open sources les plus couramment utilisés. Le géant américain affirme avoir découvert plus de 36 000 vulnérabilités en janvier. Cette nouvelle offre de Google Cloud laisse les entreprises à bénéficier directement les fonctionnalités et pratiques de sécurité approfondies. Elles sont identiques à ce que la firme applique à son propre portefeuille de logiciel open source. Ainsi, elle semble prête à leur donner un libre accès.
En outre, il a également fait part d’un partenariat avec la plateforme de sécurité des développeurs israéliens SNYK. Cela peut signifier qu’Assured OSS intègre de manière native dans les solutions SNYK. Le but est de permettre aux clients réguliers de l’utiliser partout où ils développent leur code.
Grâce à cette collaboration, les vulnérabilités, les actions de déclenchement et les recommandations de correction de SNYK seront disponibles pour les clients communs. Cela durera tout au long du cycle de vie de la sécurité et du développement logiciel de Google Cloud.
Conclusion
Avec ce nouveau produit, Google Cloud a l’intention de faciliter la gestion des vulnérabilités de l’open source et de la chaîne d’approvisionnement. Pour cela, il apporte son aide aux organisations de toutes tailles à se protéger contre les cyberattaques. Il reste donc à savoir si ce plan va fonctionner.
Un optimiste invétéré qui ne prend presque rien pour acquis. Du moins, je suis de ceux qui disent : « fais mieux qu’hier ».