谷歌将开始分发经过安全审查的开源软件库集合

谷歌周二宣布了一项新举措，旨在通过策划和向谷歌云客户分发经过安全审查的开源软件包集合，确保开源软件供应链的安全。

该公司在一篇博客文章中介绍了这项新服务，即有保证的开源软件。谷歌云安全和隐私集团产品经理Andy Chang在帖子中指出了保护开源软件的一些挑战，并强调了谷歌对开源的承诺。

“开发人员社区、企业和政府越来越意识到软件供应链风险，”Chang写道，并以去年的主要log4j漏洞为例。“谷歌仍然是开放源码最大的维护者、贡献者和用户之一，并积极参与帮助使开放源码软件生态系统更加安全”。

根据谷歌的公告，这项有保证的开源软件服务将把谷歌自身丰富的软件审计经验的好处扩展到云客户。谷歌表示，通过该服务提供的所有开源软件包也在谷歌内部使用，并定期扫描和分析漏洞。

开发人员社区、企业和政府越来越意识到软件供应链风险

目前，GitHub上提供了一份由Google持续审查的550个主要开源库的列表。虽然这些库都可以独立于谷歌下载，但有保证的OSS程序将看到通过谷歌云分发的经过审核的版本，从而减少开发人员有意或无意损坏广泛使用的开源库的事件。目前，该服务处于早期访问模式，预计将于2022年第3季度提供给更广泛的客户测试。

谷歌的这一宣布是全行业提高开源软件供应链安全性努力的一部分，拜登政府也支持这一努力。

今年1月，美国一些最大的科技公司与包括国土安全部和网络安全与基础设施安全局在内的联邦机构代表会面，讨论了log4j漏洞之后的开源软件安全问题。自那以后，最近举行的一次相关公司会议承诺提供3000多万美元的资金，以提高开源软件的安全性。

除了提供资金外，谷歌还投入工程时间来确保供应链的安全。该公司最近宣布成立“开源维护团队”，与流行库的维护人员合作，以提高安全性。