谷歌推出两款保护开源软件供应链安全的工具,其一是发布 deps.dev API,供开发者免费访问 deps.dev 数据集,该数据集含有超过5,000万个开源软件套件版本的安全后设资料,另外,谷歌云端的Assured OSS服务也正式开放, 用户可以方便取用经谷歌安全验证过的开源套件。
如今,软件开发高度仰赖开源项目,因此一旦开源软件存在漏洞,便可能导致诸如Log4j、Codecov和3CX等攻击事件,开发者如能取得更多开源项目的信息,包括相依项目、授权和各种安全讯号数据,有效掌握并修复所使用套件的漏洞,同时使用经过验证的可信赖套件,将有助大幅减少软件供应链攻击所带来的安全风险。
谷歌的 deps.dev 数据集便是收集,来自Go、Maven、PyPI、npm和Cargo等5大软件打包生态系的套件后设数据,涵盖5,000万个套件版本,并且从套件注册表、开源漏洞管理数据库、代码托管服务和软件构件本身等来源更新相关资料集内容。
谷歌收集并且汇总这些数据,产生递移相关关系图、安全咨询报告、OpenSSF安全记分卡等信息,用户不仅可以直接从 deps.dev 网站人工查询,或是以云端数据仓储服务BigQuery进行大规模批次分析,现在还可以使用新推出的API,以编程开发方法实时访问数据集,并在自家工具、工作流程和分析中使用这些安全性数据。
透过释出 deps.dev API,可让企业在更多层面把关软体安全性,像是开发IDE扩充套件、整合至CI/CD,也能够在建置工具或是政策引擎整合 deps.dev API,确保软件符合法遵要求,甚至是绘制出相关系图,以可视化的方式呈现系统相依性。 谷歌在2022年所开源的软件安全性评估工具GUAC便是使用该API,以 deps.dev 数据补充SBOM(Software Bill of Materials)。
API提供 deps.dev 网站所没有的两个重要功能,首先 deps.dev API支持哈希查询,通过查询档案内容的哈希,可以找到所有包含该档案的套件版本,该功能可以协助用户在即便没有其他建置后设资料的情况下,找到正在使用的套件版本,这对于软体供应链安全、容器分析、事件响应和数字鉴识上都非常有用。
另一个 deps.dev API重要功能,便是提供完整的相依图,谷歌提到,deps.dev 的相关资料不仅是采用套件的宣告资料,也用和套件工具相同的算法计算相关关系,因此 deps.dev API能够提供一组完整且真实的相依项目图,相当于开发者实际安装软件套件时得到的结果,透过 deps.dev API开发者就可以评估、 监控和可视化预期的相关关系。
谷歌另一个提高开源软件安全性的作为,便是正式推出Assured OSS服务,该服务目前免费,可协助企业获取通过谷歌安全检验的套件,进而降低软件供应链攻击的风险。 谷歌会定期扫描和修复Assured OSS软件库中存在漏洞的套件,并且以行业标准提供SBOM,使用户能够更好地掌握所使用的套件组成。
