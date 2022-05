Mit einem neuen Dienst will Google die Sicherheit der Software Supply Chain verbessern. Assured Open Source Software (Assured OSS) soll im dritten Quartal in der Google-Cloud verfügbar sein. Der Service liefert mit unterschiedlichen Methoden auf Schwachstellen abgeklopfte Open-Source-Pakete. Er eignet sich vor allem für die Softwareentwicklung in Unternehmen und die öffentliche Hand.

Unter der Lupe

Assured OSS bietet laut der Ankündigung dieselben Pakete an, die Google intern für die Softwareentwicklung verwendet. Google scannt und analysiert die Pakete zunächst. Neben der dynamischen und statischen Codeanalyse kommt dabei Fuzzing zum Einsatz. Google hat dafür 2016 das Tool OSS Fuzz vorgestellt. Es füttert die zu testenden Programme mit zufälligen Eingaben und deckt so potenzielle Angriffsfläche auf, die menschliche Tester übersehen, die mehr oder wenig plausible Daten zum Testen verwenden. Mittels Fuzzing lassen sich beispielsweise Pufferüberläufe aufdecken, die durch unerwartete Eingaben entstehen.

Die untersuchten OSS-Pakete bringen Metadaten zur Analyse mit. Den Build-Prozess übernimmt Googles CI/CD-Plattform (Continuous Integration / Continuous Delivery) Cloud Build. Sie soll die Compliance zu dem 2021 ebenfalls von Google initiierten SLSA-Framework (Supply Chain Levels for Software Artifacts) gewährleisten.

Der Weg von analysiertem Open-Source-Code über den Buildprozess in ein Repository und die Verteilung. (Bild: Google)

Schließlich sind alle Pakete von Google signiert. Die Verteilung erfolgt abschließend nicht aus den jeweiligen Paketmanagern, sondern aus der Google-eigenen Artifact Registry.

Kooperation mit Snyk

Parallel zu Assured Open Source Software hat Google eine Zusammenarbeit mit Snyk angekündigt. Das Unternehmen ist auf Supply Chain Security spezialisiert und bietet Werkzeuge, die nach Schwachstellen in Dependencies suchen.

Im Zuge der Partnerschaft werden die Snyk-Produkte Assured OSS direkt integrieren. Umgekehrt erhalten Unternehmen, die Google-Cloud-Kunden sind, Zugriff auf Snyks Informationen zu Schwachstellen und Empfehlungen zu deren Beseitigung.

Angriffsziel Lieferkette

Unter anderem Log4j hat auf prominente Weise gezeigt, wie verwundbar die Software Supply Chain ist. Hinzu kommen weniger sicherheitskritische, aber dennoch schädliche Aktionen verärgerter Entwicklerinnen und Entwickler, die ihre Pakete unbrauchbar machen oder vom Paketmanager zurückziehen.

Zu den jüngsten Beispielen für Angriffe auf Open-Source-Pakete gehört die angebliche Übernahme eines npm-Accounts und ein Angriff über Dependency Confusion, der zwar eine Backdoor auf Systeme installiert hat, sich aber nicht als bösartige Supply-Chain-Attacke, sondern als Pentest herausgestellt hat.

Weitere Details zu Assured Open Source Security lassen sich dem Cloud-Blog von Google entnehmen. Zu den Preisen schweigt sich der Beitrag aus.

(rme)