Ускоряют разработку и повышают безопасность: Google запускает сервисы для девелоперов Deps.dev и Assured OSS

Компания Google запустила бесплатный API Deps.dev и сервис Assured Open Source Software (Assured OSS).

Об этом сообщил Techcrunch.

Deps.dev предоставляет разработчикам программного обеспечения исчерпывающие данные о зависимости программных пакетов, а также информацию, связанную с их безопасностью. Компания заявила о поддержке более 5 миллионов пакетов для разных языков программирования.

Assured OSS, запущенный буквально вчера, предоставляет командам разработчиков репозиторий безопасных пакетов для Python и Java.

Оба сервиса являются частью усилий Google по снижению рисков в цепочке поставки программного обеспечения, существующих в экосистеме с открытым исходным кодом.

Deps.dev

Для Deps.dev команда Google Open Source Insights собрала метаданные безопасности из нескольких источников для 5 миллионов пакетов с 50 миллионами версий, найденных в общедоступных репозиториях Go, Maven (Java), PyPI (Python), npm (JavaScript) и Cargo (Rust). В будущем планируется добавить информацию о пакетах NuGet (.NET framework).

Посредством разработчики смогут ответить на такие вопросы, как:

• Какие версии доступны для данного пакета?
• Какие лицензии на программное обеспечение используют определенные версии?
• Сколько зависимостей имеет пакет и каковы они?
• Каким пакетам и каким версиям соответствует файл?

Все это может существенно помочь принимать более обоснованные решения для оценки рисков, связанных с использованием конкретных пакетов, которые рассматриваются как часть проекта.

Гарантированное OSS

Репозиторий Assured OSS помогает разработчикам защищаться от кибератак путём регулярного сканирования и анализа на наличие уязвимостей.

Это положительно повлияет на процесс разработки и позволит сделать итоговый продукт более безопасным.

Например, многие частные и штатные разработчики принимают за практику хранить часто используемые репозитории в своих локальных хранилищах, тем самым минимизируя возможные риски, если общедоступная версия популярного пакета будет скомпрометирована.

Однак такий підхід може надовго затримати впровадження виправлень безпеки. Багато досліджень за минулі роки, наприклад, показують, що організації дуже часто використовують застарілі та вразливі версії компонентів з відкритим вихідним кодом у своїх додатках. Репозиторій від Google покликаний вирішити цю проблему.

Google обіцяє, що постійно оновлюватиме ці бібліотеки (без створення розгалужень) і постійно скануватиме відомі вразливості

Розробники та організації, які хочуть скористатися новою послугою, можуть зареєструватися тут, а потім інтегрувати Assured OSS у свій існуючий канал розробки.

Читайте також:

Розробники рекомендують: 9 топових репозиторіїв Github для програмістів (і не тільки)

Github зробив безплатною перевірку публічних репозиторіїв на наявність витоку даних

Как попасть в IT за три месяца без навыков программирования? По-прежнему – пойти в тестировщики