Hôm thứ Năm, Google đã thông báo về việc thành lập một “Đội ngũ bảo trì nguồn mở” mới để tập trung vào việc tăng cường bảo mật cho các dự án nguồn mở quan trọng.
Ngoài ra, gã khổng lồ công nghệ đã chỉ ra Open Source Insights như một công cụ để phân tích các gói và biểu đồ phụ thuộc của chúng, sử dụng nó để xác định “liệu một lỗ hổng trong phần phụ thuộc có thể ảnh hưởng đến mã của bạn hay không.”
Công ty cho biết: “Với thông tin này, các nhà phát triển có thể hiểu cách phần mềm của họ được kết hợp với nhau và hậu quả của những thay đổi trong các yếu tố phụ thuộc của chúng.
Sự phát triển này diễn ra khi tính bảo mật và sự tin tưởng vào hệ sinh thái phần mềm nguồn mở ngày càng bị đặt ra nghi vấn do hậu quả của một chuỗi các cuộc tấn công chuỗi cung ứng được thiết kế để làm tổn hại đến quy trình làm việc của nhà phát triển.
Vào tháng 12 năm 2021, một lỗ hổng nghiêm trọng trong thư viện ghi nhật ký nguồn mở log4j phổ biến đã khiến một số công ty tranh nhau vá các hệ thống của họ để chống lại sự lạm dụng tiềm ẩn.
Thông báo này cũng được đưa ra chưa đầy hai tuần sau khi Quỹ Bảo mật Nguồn Mở (OpenSSF) công bố dự án Phân tích gói nhằm thực hiện phân tích động của tất cả các gói được tải lên các kho mã nguồn mở phổ biến.
.
