Прискорюють розробку та підвищують безпеку: Google запускає сервіси для девелоперів Deps.dev и Assured OSS

Компанія Google запустила безкоштовний APIDeps.dev і сервіс Assured Open Source Software (Assured OSS).

Про це повідомив Techcrunch.

Deps.dev надає розробникам програмного забезпечення вичерпні дані про залежність програмних пакетів, а також інформацію, пов’язану з їхньою безпекою. Компанія заявила про підтримку більш ніж 5 мільйонів пакетів для різних мов програмування.

Assured OSS, запущений буквально вчора, надає командам розробників репозиторій безпечних пакетів для Python і Java.

Обидва сервіси є частиною зусиль Google щодо зниження ризиків у ланцюжку постачання програмного забезпечення, що існують в екосистемі з відкритим вихідним кодом.

Deps.dev

Для Deps.dev команда Google Open Source Insights зібрала метадані безпеки з кількох джерел для 5 мільйонів пакетів із 50 мільйонами версій, знайдених у загальнодоступних репозиторіях Go, Maven (Java), PyPI (Python), npm (JavaScript) та Cargo (Rust). У майбутньому планується додати інформацію щодо пакетів NuGet (.NET framework).

За допомогою розробники зможуть відповісти на такі питання, як:

• Які версії доступні для певного пакета?
• Які ліцензії на програмне забезпечення використовує певна версія?
• Скільки залежностей має пакет та які вони?
• Яким пакетам та яким версіям відповідає конкретний файл?

Все це може суттєво допомогти приймати більш обґрунтовані рішення щодо оцінки ризиків, пов’язаних з використанням конкретних пакетів, які розглядаються як частина проєкту.

Assured OSS

Репозиторій Assured OSS допомагає розробникам захищатися від кібератак шляхом регулярного сканування й аналізу на наявність уразливостей.

Це позитивно вплине на процес розробки і дозволить зробити підсумковий продукт безпечнішим.

Наприклад, багато приватних і штатних розробників беруть за практику зберігати репозиторії, що часто використовуються, у своїх локальних сховищах, тим самим мінімізуючи можливі ризики, якщо загальнодоступна версія популярного пакету буде скомпрометована.

Однак такий підхід може надовго затримати впровадження виправлень безпеки. Багато досліджень за минулі роки, наприклад, показують, що організації дуже часто використовують застарілі та вразливі версії компонентів з відкритим вихідним кодом у своїх додатках. Репозиторій від Google покликаний вирішити цю проблему.

Google обіцяє, що постійно оновлюватиме ці бібліотеки (без створення розгалужень) і постійно скануватиме відомі вразливості

Розробники та організації, які хочуть скористатися новою послугою, можуть зареєструватися тут, а потім інтегрувати Assured OSS у свій існуючий канал розробки.

Читайте також:

Розробники рекомендують: 9 топових репозиторіїв Github для програмістів (і не тільки)

Github зробив безплатною перевірку публічних репозиторіїв на наявність витоку даних

Як потрапити в IT за три місяці без навичок програмування? Як і раніше – піти в тестувальники