Google kündigte am Donnerstag die Gründung einer neuen „Open Source Maintenance Crew“ an, die sich auf die Verbesserung der Sicherheit kritischer Open-Source-Projekte konzentrieren soll.
Außerdem stellte der Tech-Gigant Open Source Insights vor, ein Tool zur Analyse von Paketen und ihren Abhängigkeitsgraphen, mit dem sich feststellen lässt, „ob eine Schwachstelle in einer Abhängigkeit deinen Code beeinträchtigen könnte“.
„Mit diesen Informationen können Entwickler/innen verstehen, wie ihre Software zusammengesetzt ist und welche Konsequenzen Änderungen in ihren Abhängigkeiten haben“, so das Unternehmen.
Die Entwicklung kommt zu einem Zeitpunkt, an dem die Sicherheit und das Vertrauen in das Open-Source-Software-Ökosystem nach einer Reihe von Angriffen auf die Lieferkette, die darauf abzielen, die Arbeitsabläufe von Entwicklern zu gefährden, zunehmend in Frage gestellt werden.
Im Dezember 2021 sorgte eine kritische Schwachstelle in der allgegenwärtigen Open-Source-Logging-Bibliothek Log4j dafür, dass mehrere Unternehmen ihre Systeme mit Patches gegen möglichen Missbrauch schützen mussten.
Die Ankündigung kommt weniger als zwei Wochen, nachdem die Open Source Security Foundation (OpenSSF) das Projekt Package Analysis angekündigt hat, das eine dynamische Analyse aller Pakete durchführen soll, die in beliebte Open-Source-Repositories hochgeladen werden.