Google ayudará a la tecnología de código abierto a combatir los ciberataques
En un momento en que los ataques cibernéticos ocurren con mayor frecuencia, Google anunció una nueva herramienta de seguridad con el objetivo de aumentar la seguridad del software de código abierto.
El software de código abierto (OSS) asegurado permitirá a los usuarios incorporar los paquetes de seguridad propios de Google en sus propios flujos de trabajo.
El software de código abierto continúa siendo un objetivo popular para los ataques de seguridad y, como señala Google en su anuncio, ha habido un aumento masivo del 650 % año tras año en la cantidad de ataques cibernéticos dirigidos a proveedores de código abierto. Dado que las cadenas de suministro de software a menudo utilizan código fuente abierto para permanecer accesibles y fáciles de personalizar, son especialmente vulnerables a este tipo de ataques.
Google está lejos de ser la única entidad que aborda el hecho de que el software de código abierto, a pesar de sus abundantes beneficios, puede ser fácilmente abusado. La empresa, junto con OpenSSF y Linux Foundation, está dando seguimiento a las iniciativas de seguridad planteadas durante la reciente Cumbre de la Casa Blanca sobre seguridad de fuente abierta. Microsoft también ha anunciado recientemente una nueva iniciativa basada en la ciberseguridad .
Ha habido numerosas vulnerabilidades de ciberseguridad de alto perfil en el pasado reciente, como Log4j y Spring4shell. En un intento por evitar que se produzcan tales ataques, Google ha introducido Assured OSS.
Como parte de Assured OSS, Google espera permitir que los usuarios del sector empresarial y del sector público trabajen con los paquetes de Google OSS en sus propios flujos de trabajo de desarrollador. Por su parte, la compañía promete que los paquetes seleccionados por el servicio serán escaneados, probados y analizados regularmente para asegurarse de que ninguna vulnerabilidad logre pasar las defensas.
Todos los paquetes se construirán con Cloud Build de Google y, por lo tanto, vendrán con cumplimiento verificable de SLSA. SLSA significa Supply-chain Levels for Software Artifacts y es un marco bien conocido que tiene como objetivo estandarizar la seguridad de las cadenas de suministro de software. Cada paquete también estará firmado de manera verificable por Google y vendrá con los metadatos correspondientes que incorporan los datos de análisis de contenedores/artefactos de Google.
Para enfocar aún más la seguridad cibernética, Google también ha anunciado una nueva asociación con SNYK, una plataforma de seguridad para desarrolladores israelí. El OSS asegurado se integrará en las soluciones de SNYK desde el primer momento, lo que permitirá que los clientes de ambas empresas se beneficien.
Google señaló una estadística asombrosa: dentro de los 550 proyectos de código abierto más comunes que escanea regularmente, logró encontrar más de 36,000 vulnerabilidades a partir de enero de 2022. Eso solo muestra cuán importante es tomar medidas enérgicas contra la vulnerabilidad de estos proyectos, ya que el software de código abierto es popular, necesario y definitivamente llegó para quedarse. Quizás el OSS asegurado de Google pueda hacerlo más seguro para todos los que se benefician de él.