Witold Kepinski - 28 maart 2025

Chainguard Libraries biedt beveiligde Java-afhankelijkheden

Chainguard, het bedrijf dat een veilige basis biedt voor softwareontwikkeling en -implementatie, heeft Chainguard Libraries aangekondigd. Dit is een catalogus van beveiligde taalbibliotheken voor Java, die veilig vanuit de bron zijn gebouwd op een SLSA L2-infrastructuur.

Chainguard Libraries biedt beveiligde Java-afhankelijkheden image

Met end-to-end integriteit en native bescherming bij het bouwen en distribueren van pakketten, biedt Chainguard Libraries één gestandaardiseerde bron voor ontwikkelaars om Java-afhankelijkheden veilig te gebruiken, zonder malware en andere risico's voor de toeleveringsketen in hun omgeving te introduceren. Chainguard Libraries vermindert ook de noodzaak voor omslachtige pakketcuratie en integreert naadloos in ontwikkelworkflows, waardoor bedrijven sneller software kunnen leveren zonder in te boeten aan beveiliging.

De groeiende dreiging van onbetrouwbare open source-afhankelijkheden

Het beveiligen van de moderne softwareontwikkelingscyclus vereist het vergrendelen van elke laag van de stack, inclusief het besturingssysteem (OS), de runtime-omgeving, taalbibliotheken en applicatiecode. Terwijl Chainguard Containers organisaties helpt bij het beveiligen van hun OS en runtime-omgeving, was er een kritieke lacune in de dekking van taalafhankelijkheden, zoals Java-bibliotheken. Het aantal kwaadaardige open source-pakketten is in 2024 meer dan verdrievoudigd, met meer dan 700.000 gedetecteerde kwaadaardige pakketten. Java-ontwikkelaars vertrouwen op bibliotheken van openbare registries zoals Maven Central, die in 2023 meer dan 1,5 biljoen downloads van bibliotheken had, maar prioriteit geeft aan het gemak van de uitgever boven de veiligheid van het bedrijf. Omdat openbare registries van nature weinig wrijving veroorzaken, hebben ze minimale controle op de artefacten die naar hun repositories worden geüpload en geen vereisten voor digitale attesten om de pakketintegriteit en bouwbeveiliging te garanderen. Aanvallers maken vaak gebruik van deze zwakke punten in de bouw- en distributiefasen van de pakketlevenscyclus, waardoor malware wordt geïnjecteerd in schijnbaar veilige software.

"Ontwikkelaars hebben een betere manier nodig om open source-taalafhankelijkheden te gebruiken die gebruiksgemak combineert met vertrouwde beveiliging. Chainguard Libraries biedt een veilige, vertrouwde bron voor Java-afhankelijkheden, volledig vanuit de bron gebouwd in de geharde omgeving van Chainguard," zegt Dan Lorenc, CEO en medeoprichter van Chainguard. "Door de risico's voor de toeleveringsketen te elimineren die gepaard gaan met traditionele openbare registries, helpen we bedrijven een kritieke aanvalsvector in hun omgeving te vergrendelen. Tegelijkertijd maken we het leven van ontwikkelaars gemakkelijker door de wrijving van handmatige of beleidsmatige pakketcuratie te verwijderen en hen één vertrouwde bron te geven voor afhankelijkheden die naadloos integreert in hun bestaande workflows. Met Chainguard Libraries kunnen organisaties sneller en veiliger bouwen, zonder compromissen."

Veiligere en snellere softwarelevering

Chainguard Libraries versnelt de missie van Chainguard om de veilige bron voor open source te bouwen. Chainguard Libraries biedt één gestandaardiseerde bron voor ontwikkelaars om de 20.000 meest populaire Java-afhankelijkheden veilig te gebruiken, met vijf jaar versie-dekking, waardoor het risico op malware en andere bedreigingen voor de toeleveringsketen in hun omgeving wordt geëlimineerd.

"Nu aanvallen op de softwaretoeleveringsketen een uitdaging blijven vormen, zoeken organisaties naar meer zekerheid over de beveiliging en integriteit van hun open source-afhankelijkheden," zegt Katie Norton, Research Manager voor DevSecOps en Software Supply Chain Security, IDC. "Benaderingen die de verifieerbaarheid en betrouwbaarheid van softwarecomponenten verbeteren - zoals het rechtstreeks vanuit de bron bouwen van Java-pakketten met end-to-end integriteit, zoals te zien is in oplossingen als Chainguard Libraries - kunnen organisaties helpen hun softwaretoeleveringsketen te versterken en ontwikkelaars in staat stellen software efficiënter te bouwen en te implementeren zonder in te boeten aan beveiliging."

Chainguard Libraries is beschikbaar in bèta. Ga naar https://chainguard.dev/libraries om een van de eersten te zijn die Chainguard Libraries uitproberen.

Trend Micro World Tour 2025 Okta 18/03/2025 t/m 01/04/2025 BW
Trend Micro World Tour 2025