Разработчики корпоративного ПО обеспокоены рисками, связанными с использованием сторонних компонентов с открытым исходным кодом. В связи с этим компания Google решила запустить новый платный сервис, представляющий собой репозиторий опенсорсных компонентов с улучшенной безопасностью.
В репозитории Assured Open Source Software (Assured OSS) будут содержаться распространенные пакеты с открытым исходным кодом, созданные из исходного кода после проверки его происхождения и всех его зависимостей. Перед созданием пакета исходный код также будет проверяться и тестироваться на наличие уязвимостей. Созданные пакеты будут содержать цифровую подпись Google и расширенные метаданные в соответствии с фреймворком SLSA для обеспечения целостности цепочки поставок.
Компания анонсировала новый сервис во вторник, 17 мая. Ранний доступ к нему получит только ограниченный круг избранных пользователей. Этап общественного тестирования назначен на третий квартал 2022 года.
Как уже упоминалось выше, сервис будет платным (чтобы покрыть расходы на инфраструктуру, связанную с созданием, хостингом и тестированием пакетов, включающим автоматизированный фаззинг с более чем 100 тыс. ядер), но цены пока еще не установлены.
Для начала Assured OSS будет насчитывать порядка 500 пакетов на Java и Python, которыми пользуется Google. Затем со временем их количество будет расти и охватывать больше языков программирования. Пользователи также смогут вносить для проверки и тестирования используемые ими пакеты с открытым исходным кодом.
Как показывают исследования, в корпоративном ПО часто используются устаревшие и уязвимые версии опенсорсных компонентов. Google намерена исправить эту проблему путем обратного портирования патчей безопасности на более старые версии пакетов, даже если их разработчики этого не делают.
Кроме того, Google скооперируется с ИБ-компанией Snyk, интегрировав свой сервис в платформу и инструменты Snyk.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
