Google lancia ufficialmente Assured OSS, il servizio per l’open source garantito

L’open source è ormai ovunque e viene usato ampiamente in una grande quantità di prodotti e servizi. Per risolvere alcuni problemi legati alla sicurezza nell’uso di software open source all’interno di altri progetti, Google ha lanciato ufficialmente Assured Open Source Software, un servizio che consente di ottenere pacchetti e librerie Java e Python certificati da Google: di fatto, gli stessi che proprio Google usa internamente per i suoi progetti e che superano un processo di certificazione e ricerca di vulnerabilità aggiuntivo.

Assured OSS: l’open source “assicurato” firmato Google

Uno dei vantaggi dell’open source è che è libero e aperto, ma ciò può anche rivelarsi un problema: se esistono diverse versioni di una stessa libreria, o se ne esistono diverse possibili fonti, qual è quella corretta da usare? Cosa succede se uno sviluppatore acquisisce una libreria da una fonte non fidata? E, alla luce di attacchi come quello a SolarWinds, come assicurarsi che non vengano eseguiti attacchi di filiera (o, se preferite l’inglese, alla supply chain)?

Per rispondere a tali problematiche, Google ha annunciato lo scorso anno Assured Open Source Software, soluzione all’epoca resa disponibile come anteprima. L’azienda ha ora annunciato la disponibilità generale del servizio, che mette a disposizione degli sviluppatori migliaia di pacchetti Java e Python, inclusi strumenti di machine learning e intelligenza artificiale come TensorFlow, Pandas e Scikit-Learn. I pacchetti vengono scansionati alla ricerca di vulnerabilità e inseriti poi in un registro controllato da Google e protetto dalla stessa.

Google afferma che il sistema ha già dimostrato di funzionare: il 48% delle nuove vulnerabilità nei primi 278 pacchetti è stato individuato e corretto da questo programma.