Pour renforcer la sécurité de la chaîne d’approvisionnement des logiciels open source, Google Cloud lance le service Assured Open Source Software. « Assured OSS permet aux entreprises clientes de bénéficier directement des capacités et des pratiques de sécurité approfondies et de bout en bout que nous appliquons à notre propre portefeuille OSS », explique dans un billet de blog Andy Chang, responsable produit groupe, sécurité et confidentialité, chez Google.
Le programme est ainsi conçu pour les sociétes et les administrations publiques qui souhaitent intégrer « facilement » les mêmes packages OSS que ceux utilisés par Google dans leurs propres flux de travail orientés développeurs. L’objectif affiché est de réduire le temps que les organisations consacrent au développement, à la maintenance et à l’exploitation d’un processus complexe de gestion sécurisée des dépendances open source.
Actuellement, 550 grandes bibliothèques open source sont scrutées en continu par Google. Elles sont disponibles sur GitHub et peuvent être téléchargées indépendamment. Avec Assured OSS, il est possible d’intégrer des versions auditées et distribuées via Google Cloud.
Et ce pour réduire le risque de diffusion de vulnérabilités à travers des dépendances tierces et open source. Pour ce faire, les packages scrutés par Assured OSS sont régulièrement analysés et testés, signés et distribués à partir d’un registre des artefacts sécurisé et protégé par la firme californienne. L’analyse des vulnérabilités des conteneurs est incluse.
Assured OSS devrait être disponible en « preview » au troisième trimestre 2022.
Aussi, dans le cadre d’un partenariat entre Google Cloud et Snyk, Assured OSS sera nativement intégré dans les solutions de l’éditeur basé à Boston (Massachusetts). L’offre de Snyk permet de sécuriser les composants critiques du développement logiciel : code source, bibliothèques open source, bien sûr, conteneurs et infrastructure as code.
Ces annonces délivrées lors du Google Cloud Security Summit du 17 mai s’inscrivent dans le cadre d’autres actions menées par l’écosystème open source. Ses promoteurs veulent mieux sécuriser la chaîne l’approvisionnement des logiciels, à travers notamment le framework « Supply chain Levels for Software Artifacts » (ou SLSA qui se prononce salsa).
(crédit photo © ZinetroN – Adobe Stock)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…