Googles Sicherheitsversprechen für Open-Source-Software: Assured OSS
Der Service für Open-Source-Pakete, die Google ausgiebig getestet hat und in den eigenen Entwicklungszyklus einbindet, ist jetzt verfügbar und kostenlos.
(Bild: SWstock / Shutterstock.com)
Knapp ein Jahr nach der ersten Ankündigung ist Googles Dienst Assured Open Source Software (Assured OSS) nun allgemein verfügbar. Die anfangs noch offene Preisfrage ist damit auch geklärt: Der Dienst ist kostenlos. Er liefert mit unterschiedlichen Methoden auf Schwachstellen geprüfte Open-Source-Pakete zum Einbinden in Softwarentwicklungs-Workflows.
Zum Start bietet Assured OSS gut 1000 geprüfte Open-Source-Pakete für Java und Python an. Dabei handelt es sich laut Google um dieselben Packages, die das Unternehmen intern für eigene Softwareprojekte verwendet. Die Auswahl umfasst vor allem häufig genutzte Software wie TensorFlow, pandas und scikit-learn.
Methoden der Schwachstellensuche
Assured OSS soll die Sicherheit der Software Supply Chain mit geprüften und signierten Packages verbessern. Zum Prüfen auf Schwachstellen durchlaufen die Pakete eine statische und dynamische Codeanalyse, außerdem setzt Google einen Fuzzer ein. Er füttert die zu testenden Programme mit zufälligen oder bewusst unsinnigen Eingaben und offenbart auf so Angriffsflächen, die menschliche Tester übersehen, wenn sie mehr oder wenig plausible Daten zum Testen verwenden.
Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen. Google betreibt ein GitHub-Repository rund um die Testtechnik. 2016 hat das Unternehmen das Tool OSS Fuzz vorgestellt, 2019 folgte ClusterFuzz und 2021 dessen Ableger ClusterFuzzLite.
Signierte Pakete mit SBOM-Daten
Google signiert alle Binaries und Metadaten, damit Unternehmen sicherstellen können, dass sie unveränderte Pakete in ihren Build-Prozess integrieren. Die Pakete auf Assured OSS enthalten Metadaten zu den Software Bills of Materials (SBOMs) im SPDX- (Software Package Data Exchange) und VEX-Format (Vulnerability Exploitability eXchange).
(Bild: Google)
Weitere Details zu Assured OSS lassen sich dem Google-Cloud-Blog entnehmen. Nahezu parallel hat Google die deps.dev-API angekündigt, die ebenfalls die Software Supply Chain absichern soll, indem sie einen Überblick der Dependencies in Open-Source-Paketen und potenzielle Schwachstellen gibt.
(rme)