Google donne accès à des bibliothèques open source sécurisées par ses soins

Google veut aider les organisations à avoir une vue de bout en bout de leur chaîne d'approvisionnement logiciel. Plus spécifiquement sur les éléments open source dont elles dépendent et qui peuvent cacher des vulnérabilités. Selon un récent rapport de l’éditeur Sonatype, la gestion des dépendances de composants open source au cœur d’applications en production est souvent négligée.

Lors de son Google Cloud Security Summit, la firme de Mountain View a annoncé plusieurs nouveautés, présentées à la presse en amont de l’événement. Dont le service Assured Open Source Software (Assured OSS) qui, selon les termes de Sunil Potti, VP/GM de Google Cloud Security, est un ensemble de bibliothèques de logiciels open source qui font l’objet d’une curation par Google. Ces paquets sont les mêmes que ceux utilisés par les développeurs du géant de la tech.

S’adressant aux entreprises de toutes tailles, cette offre permet de s'assurer de faire appel à la myriade de briques open source que Google tient à l'œil en permanence. Les ressources en question sont régulièrement scannées, analysées et testées en continu (fuzzing) pour détecter les vulnérabilités, a souligné Sunil Potti. Les paquets conservés par le service Assured OSS sont construits avec Cloud Build, sont signés par Google et incluent des preuves de conformité SLSA (Supply chain Levels for Software Artifacts). Enfin, ces paquets sont distribués sur Github à partir d'un registre sécurisé et protégé par Google. Sunil Potti a précisé que ce registre, accessible en preview au troisième trimestre, se concentrera d'abord sur Java et Python. Une liste des 550 principales bibliothèques open source sera progressivement enrichie afin de répondre à tous les besoins des clients de Google Cloud. Selon le site spécialisé CSO, le service sera payant mais le tarif n’est pas encore déterminé.