谷歌開始分發一系列開源軟體庫
5 月 17 日,谷歌推出了一項新計劃,該計劃向谷歌雲用戶策劃並提供經過安全審查的開源包選項,以保護開源軟體供應鏈。該公司在一篇 博文 中宣布了這項名為 「 安心開源軟體 」 的新服務。在博文中,谷歌雲安全和隱私部門產品經理 Andy Chang 強調了保障開源軟體的一些問題,並強調了谷歌對開源的承諾。
「開發者社區、企業及政府對軟體供應鏈風險的意識越來越強,」Chang 寫道,並以去年的 log4j 重大漏洞為例。「谷歌仍是開源代碼最大的維護者、貢獻者和使用者之一,並深入參與了幫助開源軟體生態系統更加安全的工作。」
據谷歌稱,「安心開源軟體」服務將讓雲客戶能夠訪問谷歌的大量軟體審計知識。另據其稱,所有通過該服務提供的開源軟體包也在公司內部使用,該公司會定期檢查和分析其漏洞。
谷歌目前正在審核的 550 個重要開源庫的清單可以在 GitHub 上找到。雖然這些庫都可以獨立於谷歌下載,但該計劃將呈現通過谷歌雲提供的審核版本,防止開發者破壞廣泛使用的開放源碼庫。這項服務現在處於預先體驗階段,將在 2022 年第三季度準備好進行更廣泛的消費者測試。
谷歌的聲明只是廣大行業努力加強開源軟體供應鏈的安全的一部分,這份努力得到了拜登政府的支持。今年 1 月,美國國土安全部和美國網路安全與基礎設施安全局的代表與美國一些主要 IT 公司的高管會面,研究 log4j 漏洞之後的開源軟體安全問題。此後,有關公司在最近的一次峰會上承諾提供超過 3000 萬美元的資金,以改善開源軟體的安全問題。
除了現金,谷歌還在投入工程時間來確保供應鏈的安全。該公司已宣布發展一個「 開源維護小組 」,該團隊將與庫維護人員合作以提高安全性。
作者:Laveesh Kocher 選題:lkxed 譯者:beamrolling 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive