لقد كان هناك وعي متزايد في مجتمع المطورين والشركات والحكومات بمخاطر سلسلة توريد البرمجيات. جهود معالجة الثغرات الأمنية مثل Log4j وSpring4shell، وa 650% زيادة سنوية في الهجمات الإلكترونية التي تستهدف موردي البرمجيات مفتوحة المصدر، زادت التركيز على المهمة الحاسمة المتمثلة في تعزيز أمن البرمجيات مفتوحة المصدر. لقد أخذت الحكومات والجهات التنظيمية إشعارًا واتخذت إجراءات، بما في ذلك الأمر التنفيذي رقم 14028 الصادر عن البيت الأبيض بشأن تحسين الأمن السيبراني في البلاد، تليها حكومات ووكالات أخرى حول العالم تؤكد متطلبات ومعايير جديدة تركز بشكل خاص على دورة حياة تطوير البرمجيات وسلسلة توريد البرمجيات.
جوجل لا تزال واحدة من أكبر المشرفين والمساهمين ومستخدمي المصادر المفتوحة ويشارك بعمق في المساعدة في جعل النظام البيئي للبرمجيات مفتوحة المصدر أكثر أمانًا من خلال الجهود بما في ذلك مؤسسة الأمن مفتوح المصدر (أوبن إس إس إف)، نقاط الضعف مفتوحة المصدر قاعدة بيانات (OSV)، و OSS-Fuzz. الاسبوع الماضي جوجل انضم OpenSSF وLinux Foundation وقادة الصناعة لعقد اجتماع لتعزيز مبادرات أمان البرمجيات مفتوحة المصدر التي تمت مناقشتها خلال شهر يناير قمة البيت الأبيض حول أمن المصادر المفتوحة.
الإعلان عن البرامج المضمونة مفتوحة المصدر
لتعزيز التزامنا بمساعدة المؤسسات على تعزيز سلسلة توريد برامج OSS الخاصة بها، نعلن اليوم عن منتج Google Cloud جديد: برمجيات مفتوحة المصدر مضمونة خدمة. يُمكّن Assured OSS مستخدمي البرامج مفتوحة المصدر من المؤسسات والقطاع العام من دمج نفس حزم OSS التي تستخدمها Google في سير عمل المطورين الخاصين بهم بسهولة. الحزم برعاية خدمة Assured OSS:
-
يتم فحصها وتحليلها واختبارها بشكل منتظم بحثًا عن نقاط الضعف
-
تحتوي على بيانات التعريف المخصبة المقابلة تحليل الحاوية/القطعة الأثرية بيانات
-
بنيت مع بناء السحابة بما في ذلك الأدلة على الامتثال لـ SLSA الذي يمكن التحقق منه
-
موقعة بشكل يمكن التحقق منه بواسطة Google
-
يتم توزيعها من سجل القطع الأثرية مؤمنة ومحمية من قبل جوجل
ونتيجة لذلك، يتيح Assured OSS للمؤسسات الاستفادة من خبرة Google الأمنية الواسعة ويمكنها تقليل حاجتها إلى تطوير العمليات المعقدة وصيانتها وتشغيلها لتأمين تبعياتها مفتوحة المصدر. من المتوقع أن يدخل Assured OSS إلى المعاينة في الربع الثالث من عام 2022.
الإعلان عن التعاون بين Google Cloud وSnyk
بالإضافة إلى ذلك، اليوم جوجل السحابية و سنيك يعلنون عن نيتهم التعاون لمساعدة المطورين بشكل أكبر على فهم مخاطر وتأثيرات تبعياتهم مفتوحة المصدر، واستخدام Assured OSS للمساعدة في تقليل مخاطرهم. خاصة:
-
سيتم دمج Assured OSS أصلاً في حلول Snyk ليستخدمها العملاء المشتركون أينما كانوا يقومون بتطوير التعليمات البرمجية.
-
ستصبح ثغرات Snyk وإجراءات التشغيل وتوصيات العلاج متاحة للعملاء المشتركين ضمن أدوات دورة حياة تطوير البرمجيات وأمان Google Cloud لتعزيز تجربة المطورين.
يمكن أن يساعد هذا التعاون المطورين على تقليل إمكانية نشر برامج مفتوحة المصدر ذات نقاط الضعف الحرجة، وتحديد التأثير المرتبط بنقاط الضعف بسرعة أكبر، والقضاء بشكل أفضل على حالات التعرض للتهديدات الجديدة، وزيادة أتمتة أنشطة العلاج الخاصة بهم.
ما الذي يدخل في خدمة OSS المؤكدة
يوضح الشكل أعلاه المراحل العديدة لسلسلة توريد البرامج لتبعية مفتوحة المصدر. لدى المؤسسات نقاط دخول مختلفة إلى حد كبير لدورة الحياة هذه – قد تقوم بعض المؤسسات ببناء حزم من المصدر بنفسها، بينما تقوم مؤسسات أخرى بسحب الحزم من مستودعات الشراء التي تثق بها.
تعمل بعض المؤسسات، بما في ذلك Google، على التحكم المركزي وتأمين كل خطوة من العملية الشاملة بشكل فعال. في حالتنا، نبدأ بالاحتفاظ بنسخ منفصلة مؤمنة من التعليمات البرمجية المصدر لتبعياتنا وإجراء فحص الثغرات الأمنية الخاص بنا. نحن زغب بشكل مستمر 550 من المشاريع مفتوحة المصدر الأكثر استخدامًا، واعتبارًا من يناير 2022 تم العثور عليها أكثر من 36.000 نقطة ضعف. وهذا يجعلنا أحد أكبر المساهمين في OSV.
نقوم بعد ذلك بإدارة عملية بناء ونشر وتوزيع شاملة تتضمن عمليات فحص متكاملة للسلامة والمصدر والأمان. واستنادا إلى ممارسات الأمن الداخلي لدينا، قمنا بإنشاء إطار عمل SLSA لتمكين المؤسسات من تقييم مدى نضج أمان سلسلة توريد البرامج الخاصة بها وفهم الخطوات الأساسية للتقدم إلى المستوى التالي.
ونحن ندرك أن معظم المنظمات لا تملك الموارد أو الخبرة اللازمة لبناء وتشغيل مثل هذا البرنامج الشامل. وبدلاً من ذلك، قد تقرر فرق التطوير الخاصة بهم بشكل فردي من أين يحصلون على التعليمات البرمجية والحزم المصدرية لجهة خارجية، وكيفية بنائها، وكيفية إعادة توزيعها داخل مؤسساتهم وفقًا لأهدافهم ونموذج التهديد والمخاطر والموارد. ومع ذلك، فإن عدم وجود عملية شاملة يؤدي إلى التعرض للمخاطر في كل خطوة على الطريق.
يتيح Assured OSS لعملاء المؤسسات الاستفادة بشكل مباشر من إمكانات وممارسات الأمان المتعمقة والشاملة التي نطبقها على محفظة OSS الخاصة بنا من خلال توفير الوصول إلى نفس حزم OSS التي تعتمد عليها Google. سيتمكن المستخدمون أيضًا من إرسال الحزم من محفظة OSS الخاصة بهم ليتم تأمينها وإدارتها من خلال خدمة Google Cloud المُدارة.
اتخذ الخطوة التالية
نحن متحمسون للدخول في شراكة معك للمساعدة في إدارة استخدامك لـ OSS في سير عمل تطوير مؤسستك. سيساعد تعاوننا مع Snyk على تبسيط وتأمين عمليات الترحيل السحابية وتحديث التطبيقات للمطورين، وخاصة على Google Cloud.
لمعرفة المزيد عن Assured OSS والبدء، يرجى ملء هذا الاهتمام استمارة.