Корпорация добра всеми силами стремится снизить риск, связанный с вредоносным кодом в цепочке поставок программного обеспечения.
Ранее на этой неделе компания Google запустила бесплатный API -сервис « Для просмотра ссылки Войдиили Зарегистрируйся », который предоставляет разработчикам программного обеспечения исчерпывающие данные о зависимостях программных пакетов, а также информацию, связанную с их безопасностью. Компания заявила о поддержке более 5 миллионов пакетов для разных языков программирования.
А буквально вчера компания объявила о запуске общедоступного сервиса Для просмотра ссылки Войдиили Зарегистрируйся (Assured OSS), который предоставляет командам разработчиков репозиторий безопасных пакетов для Python и Java, курируемый самой Google. Хорошая новость на фоне недавней волны новостей о вредоносном ПО в репозиториях для разработчиков.
Оба сервиса являются частью усилий Google по снижению рисков в цепочке поставок программного обеспечения, существующих в экосистеме с открытым исходным кодом.
Для Deps.dev команда Google Open Source Insights собрала метаданные безопасности из нескольких источников для 5 миллионов пакетов с 50 миллионами версий, найденных в общедоступных репозиториях Go, Maven (Java), PyPI (Python), npm (JavaScript) и Cargo (Rust). В будущем планируется добавить информацию по пакетам NuGet (.NET framework).
С помощью данного Deps.dev разработчики смогут ответить на такие вопросы, как:
Курируемый специалистами Google репозиторий Assured OSS тоже положительно скажет на процессе разработки и позволит сделать итоговый продукт безопаснее. Например, многие частные и штатные разработчики берут за практику сохранять часто используемые репозитории в своих локальных хранилищах, тем самым минимизируя возможные риски, если общедоступная версия популярного пакета будет скомпрометирована. Однако такой подход может надолго задержать внедрение исправлений безопасности. Многие исследования за прошедшие годы, например, показывают, что организации очень часто используют устаревшие и уязвимые версии компонентов с открытым исходным кодом в своих приложениях. Репозиторий от Google призван решить эту проблему.
«Обеспечение безопасности цепочки поставок программного обеспечения — сложная задача, но в наших интересах упростить её. Каждый день Google усердно работает над созданием более безопасного Интернета, и мы гордимся тем, что выпускаем такой API, который поможет сделать эти данные общедоступными и полезными для всех», — заявили члены команды безопасности Google
Ранее на этой неделе компания Google запустила бесплатный API -сервис « Для просмотра ссылки Войди
А буквально вчера компания объявила о запуске общедоступного сервиса Для просмотра ссылки Войди
Оба сервиса являются частью усилий Google по снижению рисков в цепочке поставок программного обеспечения, существующих в экосистеме с открытым исходным кодом.
Для Deps.dev команда Google Open Source Insights собрала метаданные безопасности из нескольких источников для 5 миллионов пакетов с 50 миллионами версий, найденных в общедоступных репозиториях Go, Maven (Java), PyPI (Python), npm (JavaScript) и Cargo (Rust). В будущем планируется добавить информацию по пакетам NuGet (.NET framework).
С помощью данного Deps.dev разработчики смогут ответить на такие вопросы, как:
- Какие версии доступны для определенного пакета?
- Какие лицензии на программное обеспечение использует конкретная версия?
- Сколько зависимостей имеет пакет и каковы они?
- Каким пакетам и каким версиям соответствует конкретный файл?
Курируемый специалистами Google репозиторий Assured OSS тоже положительно скажет на процессе разработки и позволит сделать итоговый продукт безопаснее. Например, многие частные и штатные разработчики берут за практику сохранять часто используемые репозитории в своих локальных хранилищах, тем самым минимизируя возможные риски, если общедоступная версия популярного пакета будет скомпрометирована. Однако такой подход может надолго задержать внедрение исправлений безопасности. Многие исследования за прошедшие годы, например, показывают, что организации очень часто используют устаревшие и уязвимые версии компонентов с открытым исходным кодом в своих приложениях. Репозиторий от Google призван решить эту проблему.
«Обеспечение безопасности цепочки поставок программного обеспечения — сложная задача, но в наших интересах упростить её. Каждый день Google усердно работает над созданием более безопасного Интернета, и мы гордимся тем, что выпускаем такой API, который поможет сделать эти данные общедоступными и полезными для всех», — заявили члены команды безопасности Google
- Источник новости
- www.securitylab.ru