Google wird Open-Source-Technologie bei der Bekämpfung von Cyberangriffen unterstützen

In einer Zeit, in der Cyberangriffe immer häufiger vorkommen, hat Google ein neues Sicherheitstool angekündigt , mit dem Ziel, die Sicherheit von Open-Source-Software zu erhöhen.

Assured Open Source Software (OSS) wird es Nutzern ermöglichen, Googles eigene Sicherheitspakete in ihre eigenen Arbeitsabläufe zu integrieren.

Eine physische Sperre, die auf einer Tastatur platziert wird, um eine gesperrte Tastatur darzustellen.
Piranka/Getty Images

Open-Source-Software ist nach wie vor ein beliebtes Ziel für Sicherheitsangriffe, und wie Google in seiner Ankündigung feststellt, ist die Zahl der Cyberangriffe auf Open-Source-Anbieter im Jahresvergleich um 650 % gestiegen. Da Softwarelieferketten häufig Open-Source-Code verwenden, um zugänglich und leicht anpassbar zu bleiben, sind sie besonders anfällig für diese Art von Angriffen.

Google ist bei weitem nicht das einzige Unternehmen, das sich mit der Tatsache befasst, dass Open-Source-Software trotz ihrer zahlreichen Vorteile leicht missbraucht werden kann. Das Unternehmen verfolgt zusammen mit OpenSSF und der Linux Foundation die Sicherheitsinitiativen, die während des jüngsten White House Summit on Open Source Security vorgebracht wurden. Microsoft hat kürzlich auch eine neue Cybersecurity-basierte Initiative angekündigt.

In der jüngeren Vergangenheit gab es zahlreiche hochkarätige Cybersicherheitslücken, wie z. B. Log4j und Spring4shell. Um solche Angriffe zu verhindern, hat Google jetzt Assured OSS eingeführt.

Als Teil von Assured OSS hofft Google, Benutzern sowohl aus dem Unternehmenssektor als auch aus dem öffentlichen Sektor zu ermöglichen, die Google OSS-Pakete in ihre eigenen Entwickler-Workflows einzuarbeiten. Auf seiner eigenen Seite verspricht das Unternehmen, dass die vom Dienst kuratierten Pakete regelmäßig gescannt, Fuzz-Tests unterzogen und analysiert werden, um sicherzustellen, dass keine Schwachstellen die Verteidigung überwinden können.

Alle Pakete werden mit Googles Cloud Build erstellt und sind daher nachweisbar SLSA-konform. SLSA steht für Supply-Chain Levels for Software Artifacts und ist ein bekanntes Framework, das darauf abzielt, die Sicherheit von Software-Lieferketten zu standardisieren. Jedes Paket wird außerdem nachweislich von Google signiert und mit entsprechenden Metadaten geliefert, die die Container-/Artefaktanalysedaten von Google enthalten.

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.
Getty Images

Um die Cybersicherheit weiter in den Fokus zu rücken, hat Google auch eine neue Partnerschaft mit SNYK, einer israelischen Sicherheitsplattform für Entwickler, angekündigt. Assured OSS wird von Anfang an in SNYK-Lösungen integriert, sodass Kunden beider Unternehmen davon profitieren.

Google wies auf eine erstaunliche Statistik hin: Innerhalb der 550 häufigsten Open-Source-Projekte, die es regelmäßig scannt, konnte es bis Januar 2022 mehr als 36.000 Schwachstellen finden. Allein das zeigt, wie wichtig es ist, gegen diese Schwachstellen vorzugehen Projekte, da Open-Source-Software beliebt, notwendig und definitiv hier ist, um zu bleiben. Vielleicht kann Googles Assured OSS es für alle, die davon profitieren, sicherer machen.