本周二发布的官方博文中,Google 推出了名为“Assured Open Source Software”的新服务,旨在通过策划并向 Google Cloud 客户分发经过安全审查的开源软件包,确保开源软件供应链的安全。 在这篇文章中,Google云的安全和隐私产品经理 Andy Chang 指出了确保开源软件安全的一些挑战,并强调了 Google 对开源的承诺。 Chang 表示:“开发者社区、企业和政府对软件供应链风险的意识越来越强。Google仍然是开放源代码最大的维护者、贡献者和使用者之一,并深入参与帮助使开放源代码软件生态系统更加安全”。 根据Google的公告,Assured Open Source Software 服务将把Google自己广泛的软件审计经验的好处扩展到云客户。该公司表示,所有通过该服务提供的开源软件包也是由Google内部使用的,并定期扫描和分析漏洞。 目前,Google正在持续审查的 550 个主要开源库的清单可以在 GitHub 上找到。虽然这些库都可以独立于Google下载,但 Assured Open Source Software 计划将看到经过审核的版本通过Google云分发--以减轻开发者有意或无意地破坏广泛使用的开放源码库的事件。目前,这项服务处于早期访问模式,预计将在2022年第三季度提供给更多客户测试。
