Assured OSS, la strada di Google per l'open source sicuro

Con Assured Open Source Software, Google mette a disposizione degli utenti la sua esperienza nel controllo del codice open source

Autore: Redazione ImpresaCity

Le piattaforme open source sono alla base della grandissima parte dell'IT business di questi anni. È un dato di fatto. Ma lo è anche che utilizzare "ciecamente" il codice open source senza preoccuparsi della sua affidabilità è diventato troppo pericoloso. La presunzione di solidità del codice libero è stata a lungo un totem dell'open source. Oggi non più, o perlomeno è un assunto che vale solo parzialmente.

Oggi quasi nessuno, utente o sviluppatore, si sentirebbe di garantire a priori l'affidabilità totale del codice di un progetto open source su cui non ha il controllo diretto. Le piattaforme più diffuse e importanti sono analizzate e "blindate" dalle grandi software house e dai service provider che vi hanno costruito sopra il loro business. Le altre migliaia di progetti potenzialmente integrabili in azienda rappresentano un elemento di rischio potenziale.

Il problema poi non è tanto la solidità di una singola piattaforma, è in tutta la supply chain dell'open source. Un singolo progetto può comprendere decine o centinaia di componenti software indipendenti, basta una vulnerabilità di uno di questi per mettere in crisi tutto il "castello software" che si è costruito. E le vulnerabilità possono nascere per errori di sviluppo, ma sempre più sono introdotte dagli hacker ostili stessi, che "bucano" i fornitori di software per cambiare il loro codice. Azione che, a cascata, rende vulnerabili tutti gli utenti di quel codice.

La questione dell'affidabilità del codice open source è diventata di primaria importanza, tanto da coinvolgere direttamente non solo gli sviluppatori ma anche i Governi. Sul software "libero", in fondo, si basano vere e proprie infrastrutture critiche nazionali. E ci sono diverse iniziative che mirano a rendere solido il codice, quantomeno dei progetti più in evidenza.

A molte aziende serve però qualcosa di più semplice e immediato: la garanzia che il software open source che stanno usando, o hanno intenzione di usare, è sicuro. In questo senso, ora Google si propone come fornitore affidabile di librerie open source "certificate" come sicure da Google stessa. Questo è in sintesi il nuovo servizio Assured Open Source Software che è stato annunciato di recente e che sarà disponibile attraverso Google Cloud. La versione preliminare dovrebbe essere attivata entro settembre.

La sicurezza di Google, ma as-a-Service

In estrema sintesi, Assured OSS mette a disposizione dei grandi clienti di Google Cloud gli stessi package open source che Google usa nel suo sviluppo interno. E che sono ampiamente testati per la loro affidabilità. Big G spiega che nelle sue attività di sviluppo controlla costantemente "550 dei progetti open source più comunemente usati" alla ricerca di eventuali vulnerabilità. E sinora, per questi progetti, ne ha rilevate e segnalate oltre 36 mila.

Il principale vantaggio di Assured Open Source Software non sta tanto nell'attività di controllo delle singole basi di codice che effettua Google. Anche una grande azienda, volendo, potrebbe dedicare risorse e tempo a verificare le codebase open source che usa. La peculiarità di Assured OSS sta piuttosto nel fatto che l'attività di controllo di Google è un processo trasversale e sistematico, con già una lunga storia alle spalle. È in questa esperienza il valore aggiunto del nuovo servizio.

Google non si limita a verificare regolarmente se le basi di codice sono vulnerabili. Tiene man mano traccia delle loro dipendenze, conserva copie del codice certificato come sicuro, controlla la provenienza dei progetti, offre un canale di distribuzione dei package sicuro e protetto. Big G offre anche un framework che aiuta l'azienda utente a valutare la postura di sicurezza della sua supply chain software, per capire dove intervenire per rafforzarla ulteriormente.

Assured OSS è stato poi studiato per integrarsi in maniera trasparente con le attività di sviluppo di chi accede al servizio. La strada preferenziale indicata da Google passa attraverso Snyk, uno strumento che porta negli IDE di sviluppo funzioni di test del codice e di evidenziazione delle potenziali vulnerabilità. Snyk sarà integrato con Assured OSS, acquisendo quindi la sua "conoscenza". Inoltre, le aziende utenti potranno sottoporre a Google i pacchetti open source che già utilizzano ma che non fanno già parte del nuovo servizio: anche questi saranno gestiti via Assured OSS.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.