Google, güvenlik açığı yönetimini iyileştirmeyi ve istismar konusunda daha fazla önlem almayı amaçlayan girişimlerini açıkladı. Şirket, güvenli açık kaynak paketleri için Google Cloud Assured Open Source Software (Assured OSS) hizmetini ve 50 milyondan fazla açık kaynak paket sürümü için güvenlik meta verilerine erişim sağlayan deps.dev API’sini duyurdu.
Google, çok geniş bir ağ sunuyor. Bu API ile bir kitaplığın ne kadar iyi korunduğu, kimin bakımını yaptığı ya da güvenlik açıklarının düzeltilip düzeltilmediği gibi önemli konular ön planda tutuluyor. Aynı zamanda API web arabiriminde bulunmayan en az iki yetenek de sunuyor: Bir dosyanın içeriğinin karmasını sorgulama yeteneği ve sadece bildirimler yerine gerçek yüklemeye dayalı bağımlılık grafikleri. Ayrıca web üzerinden daha sınırlı olarak erişilebilen API, yazılım geliştiricilere milyonlarca kod kitaplığı, paket ve kasa üzerindeki güvenlik meta verilerine erişim sağlayacak.
Assured OSS hizmeti
Assured OSS ile Google, şirketlere Google’ın kullandığı ve güvenliğini sağladığı OSS paketlerinin aynısını kendi geliştirici iş akışlarına entegre etme fırsatı sunuyor. Assured OSS paketlerini doğrudan web’den değil de Google tarafından güvenli ve yönetilen bir kaynaktan oluşturarak şirket, kaynak kodun güvenliğini sağlama, depoyu koruma, uçtan uca oluşturma, paketleme ve dağıtımın güvenliğini sağlıyor. Hizmetin bir parçası olarak Google ayrıca, seçilen paketler üzerinde günlük olarak tarama ve güvenlik testleri yaparak bulunan güvenlik açıklarını da bildiriyor.
deps.dev API’si
Yeni açılan deps.dev API, kullanıcıların 5 milyondan fazla paketin 50 milyondan fazla versiyonundaki lisansları, önerileri ve diğer güvenlik bilgilerini keşfetmesine olanak tanıyor. API, Google tarafından dahili olarak kullanılıyor ve artık tüm geliştiricilere açık.
Bununla birlikte veriler, IDE eklentilerine, CI/CD platformlarına, oluşturma araçlarına, analiz ücretlerine vb. entegre edilebiliyor. API ayrıca güvenlik araştırmacılarının, geliştiricilerin ve kuruluşların kod tabanlarının yeni keşfedilen kritik bir güvenlik açığından etkilenip etkilenmediğini ve nerede olduğunu keşfetmelerine de yardımcı oluyor.
