Google kündigte am Donnerstag die Gründung einer neuen „Open Source Maintenance Crew“ an, die sich auf die Stärkung der Sicherheit kritischer Open-Source-Projekte konzentrieren soll.
Darüber hinaus wies der Tech-Gigant auf Open Source Insights hin, ein Tool zur Analyse von Paketen und ihren Abhängigkeitsgraphen, mit dem sich feststellen lässt, „ob eine Schwachstelle in einer Abhängigkeit Ihren Code beeinträchtigen könnte.“
„Mit diesen Informationen können Entwickler verstehen, wie ihre Software zusammengesetzt ist und welche Konsequenzen Änderungen in ihren Abhängigkeiten haben“, so das Unternehmen.
Die Entwicklung kommt zu einem Zeitpunkt, an dem die Sicherheit und das Vertrauen in das Open-Source-Software-Ökosystem nach einer Reihe von Angriffen auf die Lieferkette, die darauf abzielen, die Arbeitsabläufe von Entwicklern zu gefährden, zunehmend in Frage gestellt werden.
Im Dezember 2021 sorgte eine kritische Schwachstelle in der allgegenwärtigen Open-Source-Logging-Bibliothek Log4j dafür, dass sich mehrere Unternehmen darum bemühten, ihre Systeme gegen möglichen Missbrauch zu schützen.
Die Ankündigung erfolgt weniger als zwei Wochen, nachdem die Open Source Security Foundation (OpenSSF) das so genannte Package Analysis-Projekt angekündigt hat, das eine dynamische Analyse aller in beliebte Open-Source-Repositories hochgeladenen Pakete durchführen soll.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Bedrohungsakteure nutzen Telegram zur Verbreitung von „Eternity“-Malware-as-a-Service