В начале 2002 года тогдашний председатель Microsoft Билл Гейтс выпустил меморандум Trustworthy Computing, чтобы гарантировать, что вычисления «будут такими же доступными, надежными и безопасными, как электричество, водоснабжение и телефония».

Спустя два десятилетия утилиты и общественная инфраструктура в США общедоступны, но могли бы быть более надежными и безопасными, а Windows, как и другие основные операционные системы, все еще не соответствует цели Гейтса. Уязвимости в программном обеспечении — с открытым исходным кодом и проприетарном — продолжают досаждать компьютерам. По мере распространения вычислительных устройств растут и потенциальные последствия скомпрометированного кода.

Это стало делом национальной заботы. В прошлом году Белый дом издал собственные директивы, чему поспособствовали инциденты, наносящие ущерб безопасности, такие как Log4Shell и кибератаки на SolarWinds. Стало ясно, что волонтерство, которое делает доступным так много открытого исходного кода, нуждается в поддержке с точки зрения финансирования, безопасности и координации, чтобы обеспечить доступность, надежность и безопасность компьютеров и всех продуктов и инфраструктуры, которые полагаться на них.

Во вторник, Google — которая ответила на призыв правительства обезопасить цепочку поставок программного обеспечения с помощью таких инициатив, как база данных уязвимостей с открытым исходным кодом (OSV) и спецификации программного обеспечения (SBOM), — объявила о службе проверки программного обеспечения с открытым исходным кодом, своем API-интерфейсе deps.dev.

API, доступный в более ограниченной форме через Интернет, направлен на предоставление разработчикам программного обеспечения доступа к метаданным безопасности в миллионах библиотек кода, пакетов, модулей и крейтов.

По метаданным безопасности, Google означает такие вещи, как: насколько хорошо поддерживается библиотека, кто ее поддерживает, какие уязвимости, как известно, присутствуют в ней и были ли они исправлены, проводилась ли проверка кода, используются ли старые или новые версии других зависимостей, что лицензия распространяется на это, и так далее. Например, см. информацию о пакете Go cmdr и crossbeam-utils крейта Rust Cargo.

API также предоставляет как минимум две возможности, недоступные через веб-интерфейс: возможность запрашивать хэш содержимого файла (чтобы найти все версии пакета с файлом) и графики зависимостей, основанные на фактической установке, а не просто на объявлениях.

«Атаки на цепочку поставок программного обеспечения становятся все более распространенными и вредоносными, включая громкие инциденты, такие как Log4Shell, Codecov и недавний взлом 3CX», — заявили Джеспер Сарнежо и Ники Рингланд из Googleкоманда безопасности с открытым исходным кодом, в сообщении в блоге. «Подавляющая сложность экосистемы программного обеспечения вызывает проблемы даже у самых прилежных и хорошо обеспеченных ресурсами разработчиков».

В своем отчете M-Trends за 2022 г. GoogleПо словам представителя Mandiant, 17% всех нарушений безопасности начинаются с атаки на цепочку поставок. Рекламный гигант, без сомнения, надеется, что с новым API это можно будет сократить.

API deps.dev индексирует данные из различных реестров пакетов программного обеспечения, включая Rust Cargo, Go, Maven, JavaScript npm и Python PyPI, и объединяет их с данными, собранными из GitHub, GitLab и Bitbucket, а также с рекомендациями по безопасности от OSV. Идея состоит в том, чтобы сделать метаданные о программных пакетах более доступными, чтобы способствовать принятию более обоснованных решений в области безопасности.

Разработчики могут запрашивать API для поиска записей зависимости, при этом возвращаемые данные доступны программно для систем CI/CD, подключаемых модулей IDE, которые представляют информацию, инструментов построения и механизмов политик, а также других инструментов разработки.

Сарнежо и Рингланд надеются, что API поможет разработчикам лучше понять данные о зависимостях, чтобы они могли реагировать или предотвращать атаки, пытающиеся скомпрометировать цепочку поставок программного обеспечения.

Уже существуют сотни инструментов и проектов цепочки поставок программного обеспечения, но чем больше, тем лучше. Судя по средней продолжительности жизни Google сервисы, API deps.dev должен быть доступен не менее четырех лет.

В том же духе, Google Cloud в среду подтолкнула свою услугу Assured Open Source Software (Assured OSS) для Java и Python к общедоступной. Assured OSS включает в себя зеркальные репозитории более 1000 популярных программных пакетов, таких как TensorFlow, Pandas и Scikit-learn, которые сканируются на наличие уязвимостей и подписываются для предотвращения любого вмешательства.

Гарантия OSS, по словам Энди Чанга, менеджера группы по безопасности и конфиденциальности, привела Google быть первым, кто идентифицировал почти половину (48 процентов) новых уязвимостей в первоначальном наборе из 278 пакетов. ®