Google anunció el jueves la creación de un nuevo «Equipo de mantenimiento de código abierto» para centrarse en reforzar la seguridad de los proyectos críticos de código abierto.
Además, la compañía señaló a Open Source Insights como una herramienta para analizar paquetes y sus gráficos de dependencia, usándolo para determinar «si una vulnerabilidad en una dependencia podría afectar su código».
«Con esta información, los desarrolladores pueden entender cómo se arma su software y las consecuencias de los cambios en sus dependencias», dijo la compañía.
El desarrollo se produce cuando la seguridad y la confianza en el ecosistema de software de código abierto se ha cuestionado cada vez más a raíz de una serie de ataques a la cadena de suministro diseñados para comprometer los flujos de trabajo de los desarrolladores.
En diciembre de 2021, una falla crítica en la omnipresente biblioteca de registro Log4j de código abierto, dejó a varias empresas luchando por parchear sus sistemas contra posibles abusos.
El anuncio también se produce menos de dos semanas después de que Open Source Security Foundation (OpenSSF) anunciara lo que se llama Proyecto de Análisis de Paquetes para llevar a cabo un análisis dinámico de todos los paquetes cargados en repositorios populares de código abierto.
