Google Cloud va a lanzar un nuevo servicio que proporcionará a las empresas y a los gobiernos software de código abierto verificado en un intento de minimizar los riesgos de ciberseguridad.

Anunciada en la Cumbre de Seguridad de Google ayer (17 de mayo), la iniciativa Assured Open Source Software (OSS) ayudará a las organizaciones a reforzar su software de código abierto y a incorporar fácilmente los mismos paquetes de código abierto que utiliza Google en sus propios flujos de trabajo de desarrollo.

Las recientes amenazas a la ciberseguridad, como el Fallo de Log4Shell que surgieron el pasado diciembre han despertado el interés por las asociaciones público-privadas y otras iniciativas para asegurar la cadena de suministro de software de código abierto.

El último anuncio de Google es el siguiente una cumbre en la Casa Blanca en enero, donde se reunió con otras grandes empresas tecnológicas estadounidenses activas en el espacio del código abierto para debatir formas de reforzar la seguridad a la luz de las recientes vulnerabilidades.

Las amenazas a la seguridad derivadas del software de código abierto no son un fenómeno nuevo. El fallo Heartbleed revelado en 2014 que consistía en un grave fallo en el software de cifrado web OpenSSL, fue una de las primeras grandes amenazas a la seguridad en este ámbito. En aquel momento se creía que hasta el 17% de los servidores web seguros podían ser vulnerables.

¿Cómo funciona el nuevo servicio de Google?

Andrew Chang, director del grupo de productos de seguridad y privacidad de Google Cloud, dijo en un blog publicado ayer que los paquetes curados por el nuevo servicio Assured OSS son escaneados, analizados y sometidos a pruebas fuzz (una técnica de prueba de software automatizada) regularmente en busca de vulnerabilidades.

«Reconocemos que la mayoría de las organizaciones no disponen de los recursos o la experiencia necesarios para elaborar y poner en marcha un programa tan completo», dijo.

«Assured OSS permite a las organizaciones beneficiarse de la amplia experiencia en seguridad de Google y puede reducir su necesidad de desarrollar, mantener y operar procesos complejos para asegurar sus dependencias de código abierto.»

Todos los paquetes curados por Assured OSS se construyen con Cloud Build, la plataforma en la nube de Google para empresas, e incluyen pruebas de cumplimiento de SLSA, un marco integral para garantizar la integridad en toda la cadena de suministro de software.

Chang añadió que Google prueba continuamente 550 de los proyectos de código abierto más utilizados. Hasta enero, había encontrado más de 36.000 vulnerabilidades , lo que convierte a Google en uno de los mayores contribuyentes a la base de datos de vulnerabilidad de código abierto.

Los clientes empresariales de Google Cloud también podrán enviar paquetes de su propia cartera de OSS para que sean protegidos y gestionados a través de Assured OSS.

Se espera que el nuevo servicio gestionado de Google Cloud entre en fase de preestreno en el tercer trimestre de 2022.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.