أعلنت جوجل عن مبادرة جديدة، تهدف إلى تأمين سلسلة توريد البرامج مفتوحة المصدر من خلال تنظيم وتوزيع مجموعة تم فحصها من الناحية الأمنية من الحزم مفتوحة المصدر لعملاء جوجل كلاود.
تم تقديم الخدمة الجديدة، التي تحمل العلامة التجارية Assured Open Source Software، في منشور مدونة من الشركة. في المنشور أشار آندي تشانج، مدير منتجات المجموعة للأمان والخصوصية في جوجل كلاود، إلى بعض تحديات تأمين البرامج مفتوحة المصدر وشدد على التزام جوجل بفتح المصدر.
قال تشانج: "كان هناك وعي متزايد في مجتمع المطورين والشركات والحكومات بمخاطر سلسلة توريد البرمجيات"، مشيرًا إلى ثغرة log4j الرئيسية في العام الماضي كمثال. "لا تزال جوجل واحدة من أكبر المشرفين والمساهمين والمستخدمين للمصدر المفتوح وتشارك بعمق في المساعدة في جعل النظام البيئي للبرامج مفتوحة المصدر أكثر أمانًا."
وفقًا لإعلان جوجل، ستوسع خدمة البرامج مفتوحة المصدر المؤكدة فوائد تجربة تدقيق البرامج الشاملة من جوجل لعملاء السحابة، قالت الشركة إن جميع الحزم مفتوحة المصدر التي يتم توفيرها من خلال الخدمة تُستخدم داخليًا بواسطة جوجل، ويتم فحصها وتحليلها بانتظام بحثًا عن نقاط الضعف حسبما نقل موقع The verege.
وتتوفر قائمة تضم 550 مكتبة رئيسية مفتوحة المصدر تخضع لمراجعة جوجل باستمرار على GitHub. بينما يمكن تنزيل جميع هذه المكتبات بشكل مستقل عن جوجل، فإن برنامج Assured OSS سيشاهد إصدارات مدققة موزعة من خلال جوجل كلاود - مما يخفف من الحوادث التي يتسبب فيها المطورون عمدًا أو عن غير قصد في إفساد مكتبات مفتوحة المصدر مستخدمة على نطاق واسع. في الوقت الحالي، هذه الخدمة في وضع الوصول المبكر ومن المتوقع إتاحتها لاختبار العملاء على نطاق أوسع في الربع الثالث من عام 2022.
ويأتي الإعلان من جوجل كجزء من حملة على مستوى الصناعة لتحسين أمان سلسلة توريد البرامج مفتوحة المصدر والتي تم دعمها أيضًا من قبل إدارة الرئيس الأمريكي جو بايدن.
في (يناير) اجتمعت مجموعة من أكبر شركات التكنولوجيا في البلاد مع ممثلين عن الوكالات الفيدرالية بما في ذلك وزارة الأمن الداخلي ووكالة الأمن السيبراني وأمن البنية التحتية لمناقشة أمن البرمجيات مفتوحة المصدر في أعقاب خطأ log4j.
منذ ذلك الحين نتج عن الاجتماع الأخير للشركات المشاركة تعهد بأكثر من 30 مليون دولار في التمويل لتعزيز أمن البرمجيات مفتوحة المصدر.
إلى جانب المساهمة في التمويل، تضع جوجل أيضًا ساعات هندسية في الحفاظ على أمان سلسلة التوريد، أعلنت الشركة مؤخرًا عن تشكيل "طاقم صيانة مفتوح المصدر" من شأنه أن يعمل مع المشرفين على المكتبات الشعبية لتحسين الأمان.