Ранее на этой неделе компания Google запустила бесплатный API-сервис ” Deps.dev “, который предоставляет разработчикам программного обеспечения исчерпывающие данные о зависимостях программных пакетов, а также информацию, связанную с их безопасностью. Компания заявила о поддержке более 5 миллионов пакетов для разных языков программирования.
А буквально вчера компания объявила о запуске общедоступного сервиса Assured Open Source Software (Assured OSS), который предоставляет командам разработчиков репозиторий безопасных пакетов для Python и Java, курируемый самой Google. Хорошая новость на фоне недавней волны новостей о вредоносном ПО в репозиториях для разработчиков.
Оба сервиса являются частью усилий Google по снижению рисков в цепочке поставок программного обеспечения, существующих в экосистеме с открытым исходным кодом.
Для Deps.dev команда Google Open Source Insights собрала метаданные безопасности из нескольких источников для 5 миллионов пакетов с 50 миллионами версий, найденных в общедоступных репозиториях Go, Maven (Java), PyPI (Python), npm (JavaScript) и Cargo (Rust). В будущем планируется добавить информацию по пакетам NuGet (.NET framework).
С помощью данного Deps.dev разработчики смогут ответить на такие вопросы, как:
- Какие версии доступны для определенного пакета?
- Какие лицензии на программное обеспечение использует конкретная версия?
- Сколько зависимостей имеет пакет и каковы они?
- Каким пакетам и каким версиям соответствует конкретный файл?
Всё это может существенно помочь разработчикам принимать более обоснованные решения при оценке рисков, связанных с использованием конкретных пакетов, которые рассматриваются как часть проекта.
Курируемый специалистами Google репозиторий Assured OSS тоже положительно скажет на процессе разработки и позволит сделать итоговый продукт безопаснее. Например, многие частные и штатные разработчики берут за практику сохранять часто используемые репозитории в своих локальных хранилищах, тем самым минимизируя возможные риски, если общедоступная версия популярного пакета будет скомпрометирована. Однако такой подход может надолго задержать внедрение исправлений безопасности. Многие исследования за прошедшие годы, например, показывают, что организации очень часто используют устаревшие и уязвимые версии компонентов с открытым исходным кодом в своих приложениях. Репозиторий от Google призван решить эту проблему.
“Обеспечение безопасности цепочки поставок программного обеспечения – сложная задача, но в наших интересах упростить её. Каждый день Google усердно работает над созданием более безопасного Интернета, и мы гордимся тем, что выпускаем такой API, который поможет сделать эти данные общедоступными и полезными для всех”, – заявили члены команды безопасности Google