در حال حاضر که حملات سایبری بهصورتی فراتر از تصور افزایش یافتهاند، گوگل ابزار امنیتی جدیدی را با هدف افزایش ایمنی نرمافزارهای متنباز یا همان open-source معرفی کرده است.
نرمافزار متنباز مطمئن یا همان Assured Open Source Software به کاربران این امکان را میدهد تا بستههای امنیتی گوگل را در جریان کاری خود بگنجانند. در دنیای امروز، نرمافزارهای متنباز یکی از محبوبترین اهداف برای حملات سایبری بهحساب میآیند. اگر بخواهیم که بهصورتی دقیقتر به میزان این حملات سایبری اشاره کنیم، باید بگوییم که شرکت گوگل اعتقاد دارد که حملات سایبری به تامینکنندگان برنامههای متنباز بهصورت سالانه 650 درصد افزایش یافته است. با توجه به این که زنجیرههای تامین نرمافزار اغلب از کدهای متنباز استفاده میکنند تا بتوانند که در دسترستر باقی بمانن و سفارشیسازی کارشان آسانتر باشد، در برابر این حملات گفته شده آسیبپذیرتر هستند.
گوگل تنها شرکت نیست که در حال حاضر مشغول رسیدگی به این واقعیت است که نرمافزارهای متنباز، با وجود مزایایی که دارند، میتوانند که بهراحتی مورد سواستفاده قرار گیرند. این شرکت، در کنار OpenSSF و بنیاد لینوکس، در حال پیگیری ابتکارات امنیتی است که در اجلاس اخیر کاخ سفید در مورد امنیت نرمافزارهای متنباز مطرح شد. در کنار شرکتهای گفته شده، مایکروسافت نیز اخیرا یک ابتکار جدید مبتنیبر امنیت سایبری را نیز معرفی کرده است.
در گذشته آسیبپذیریهای امنیتی سایبری پرمخاطبی مانند Log4j و Spring4shell وجود داشتند، اما شرکت گوگل برای جلوگیری از وقوع چنین حملاتی، Assured Open Source Software را معرفی کرده است. بهعنوان بخشی از Assured Open Source Software، گوگل امیدوار است که کاربران مختلفی را از هر دو بخش سازمانی و عمومی قادر سازد تا بستههای این شرکت را در جریان کاری توسعه نرمافزارهای خود قرار دهند. از سویی دیگر، این شرکت قول داده است که بستههای مدیریت شده توسط این سرویس بهصورتی منظم بررسی، آزمایش و تجزیه و تحلیل میشوند تا از این موضوع اطمینان حاصل شود که هیچ آسیبپذیری نمیتواند از خط دفاعی نرمافزار شما عبور کند.
همه این بستهها با استفاده از Google Cloud Build ساخته میشوند، بنابراین با SLSA سازگاری نسبتا خوبی را ارائه خواهند داد. SLSA مخفف Supply-chain Levels for Software Artifacts است و یک چارجوب شناخته شده بهحساب میآید که هدف آن استانداردسازی امنیت زنجیره تامین نرمافزاری خواهد بود. هر بسته همچنین بهصورت تایید شده توسط گوگل امضا میشود.
برای تمرکز بیشتر بر امنیتی سایبری، شرکت گوگل همکاری جدیدی را با SNYK، پلتفرم امنیتی ساکن فلسطین اشغالی، را آغاز کرده است. Assured Open Source Software از همات ابتدا در راهحلهای امنیتی SNYK ادغام میشود و به مشتریان هر دو شرکت این امکان را میدهد تا از آنها بهرهمند شوند.
در پایان هم گوگل اعلام کرد که در بین 550 پروژه رایج متنباز که بهصورتی منظم بررسی میشوند، توانسته تا ماه ژانویه 2022 بش از 36 هزار آسیبپذیری را شناسایی کند و جلوی آنها را بگیرد. این بهتنهایی به ما نشان میدهد که چقدر مهم است که آسیبپذیری این موارد را مهار کنیم.