谷歌发布,搞定7大开源公司

谷歌发布 OSS-Fuzz 开源模糊测试服务:专利还是开源好?

{“type”:3,”value”:{“videosourcetype”:1,”vid”:”o0859sxrwbo”,”desc”:”视频:谷歌云昨夜重磅发布:2大技术平台,搞定7大开源公司,时长约1分33秒”,”img”:”,

仅在微软宣布提供Springfield编码模糊测试服务两个月后,谷歌也发布了他们自己的面向对象存储模糊测试,OSS-Fuzz的测试版。这两个项目的目的都是为了帮助开发者锁定导致入侵的程序错误,但是项目本身就像这两家公司的商业模式一样,大相径庭。一个需要付费另一个则是免费,一个拥有专利保护另一个则是开源的。

划重点:

图片 1

图片 2

谷歌的OSS-Fuzz能够针对开源软件进行持续的模糊测试,其测试开发团队昨天的博客中写到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术(即原来的libfuzzer)与清洗技术(即原来的AddressSanitizer),并且通过ClusterFuzz为大规模可分布式执行提供了测试环境。”

智东西4月10日消息,今日凌晨,也就是美国时间4月9日上午9点,一年一度的Google
Cloud Next 19大会在旧金山在Moscone中心如约而至。

这项服务填补了Springfield留下的空白:微软的模糊测试服务针对的是愿意付费的企业客户。虽然并没有排除开源开发者,但值得注意的是它明确将企业客户作为目标:适合测试内部软件、通过企业并购获得的软件、甚至是购买的第三方软件。

这场大会为期3天,由谷歌云举办,面向全球用户和开发者,其业内重要程度可与Google
I/O开发者大会比肩。此前一出场就红透半边天的谷歌重磅AI产品Cloud
AutoML曾在前一届大会上发布两大新功能。

谷歌提到“开源软件是很多应用、站点、服务以及万物互联的物联网的骨干中枢…一个例子是FreeType
library,一个在十亿以上设备上使用,用来转换字体的库(也许你正在看的这些文字也是由它转换呈现的)。”对于这种软件来说,没有程序问题并且安全是很重要的。“最近FreeType的漏洞捕捉器在源代码变化后的几小时内就找到了新的堆缓冲区。”

不过和去年不同的是,谷歌云连失三大女将:前谷歌云首席科学家李飞飞、前谷歌云AI研发主管兼谷歌AI中国中心总裁李佳、前谷歌云CEO
Diane Greene三位女性高管相继离职。

此服务“持续性”的特点还能解决另一个问题:开源软件会有大量不同维护人员不断地更新、变化。Google表示,“OSS-Fuzz可以自动提醒维护人员,谁修复了程序错误,并且还能自动确认这个修复。一切都在一天内完成!”

而Diane Greene的继任者、曾经的甲骨文二号人物Thomas
Kurian,将首次作为谷歌云新CEO公开亮相。

并没有迹象表明谷歌和微软的服务哪个更好—他们为了不同的目的采取不同手段。HD
Moore,Metasploit与Special
Circumstance有限责任公司的创始人表示,“OSS-Fuzz的成就,可以同开源中的Coverity工具相提并论;通过应用商业化资源去提高那些重要的开源软件与库的安全性。”

云有多重要?有一个比喻相当形象,说云计算犹如黑洞,不断吸引越来越多的企业应用软件以及传统信息技术。

“Springfield会有些不同,”他继续说,“它的重点是对所有付费的开发者提供服务而不仅是开源的那些。谷歌作为一个因其员工对开源工具(例如AFL等)的耕耘而在此领域做出杰出贡献的公司,在这方面的成就似乎与其保持了一致。”

虽然谷歌的绝大部分收入仍来自其搜索引擎和网站合作伙伴的广告,但其云计算正日益成为其长期前景的核心。如果谷歌无法在云中获得成功,那么它的长期技术增长空间和影响力将变得模糊不清。

目前,谷歌测试版只对有大量用户群或者对全球IT基础架构至关重要的开源软件提供服务。这暗示着,尽管没有直截了当地说明,这一切仍会变化。“通过你的帮助,我们可以将模糊测试作为开源发展中的一个标准规范,并和广大开发者、安全测试人员一道,确保那些重要开源应用、库以及API中的程序错误都能被发现和修复。”

基于这样的背景,谷歌云CEO Thomas
Kurian的首次公开露面显得颇为重要,Kurian的每一句话和新定位的迹象都将被投资者视为密切关注的焦点,希望从中探得谷歌云计算的最大成长潜力。

Robin
Wood是一位独立的渗透测试人员与安全工具开发者。他不是很确定OSS-Fuzz最终能对所有人开放。“谷歌的工具似乎对能使用它的人群来说仍有一定限制;谷歌要求这个项目要么有庞大用户群要么对全球IT至关重要,然而微软的工具可以任何人使用但要收你的钱,”他对SecurityWeek表示,“我能理解谷歌只是想限制他所承担的费用;所以这不算是在批评他们。”

而在大会的开幕当日,谷歌CEO Sundar
Pichai亲临大会现场,更足见谷歌对云计算业务的重视。“云是谷歌最重要的投资领域之一,”Sundar
Pichai指出今年谷歌的数据中心建设计划使用足够的钢铁来建造20座埃菲尔铁塔,为解决谷歌企业技术客户长期关注的问题。

然而他非常确信,谷歌走在正确的路上。“微软工具使用它们内部打造出来的软件然而谷歌工具用的是外部框架并且能拓展应用更加多样化且不同的工具;这就能变得更加灵活。尽管想要做到一致,但任何工具自己的特性都会使其在某些领域做的更好些,而另一些领域则差些。”

图片 3

Moore还认为,OSS-Fuzz“能够大大支持开源社区的发展并远超过其他公司在这个领域所做的努力。”

本次谷歌云CEO Thomas
Kurian发表的主题演讲,概述了围绕混合云、数字化转型以及行业焦点的战略,并围绕开发者服务和基础设施发布一系列公告,主要包括:

Wood觉得Springfield和OSS-Fuzz都不错,“当服务与产品状态稳定时将这两个对比做一个fuzz-off的测试结果看看他们各自找到什么应该会很有趣。但是无论任何哪个工具最后成为‘更好的’那一个,如果我有机会,为了确保万无一失我想这两个我都会尝试一下。”

1、推出谷歌新混合云开放平台Anthos和Athos
Migrate测试版,让用户可在本地硬件或公共云运行未经修改的应用程序。

转自:安全牛

2、推出无服务器计算平台Cloud
Run及其测试版,防止希望无服务器的企业面临供应商锁定问题。

3、到2020年将云服务扩展到全球23个国家和地区。

4、与7家主流开源公司建立战略合作伙伴关系,全力支持开源技术平台。

总的来看,谷歌正通过这一系列公告释放信号,表明它拥有充足资源和合作伙伴生态系统,无论用户身在何处,都可以使用他们想要的技术来满足客户的需求。

图片 4

全球规模的分布式基础架构Anthos

谷歌推出名为Anthos的新开放平台,让用户可以在任何云上简单、灵活、安全地运行应用程序,而无需学习不同的环境和API。

Anthos在希腊语中意为“鲜花”,Kurian显然希望它能帮助谷歌与大型企业发展新业务。

图片 5

Anthos基于谷歌在去年7月宣布的云服务平台,采用开放标准,使开发者可轻松地在现有硬件或公共云上创建、部署、运行和管理未经修改的应用程序。

在整个过程中,Anthos是一个100%基于软件的解决方案。开发者可以快速启动并运行现有硬件,而无需强制堆栈刷新。

Anthos利用开放式API,基于谷歌云平台和谷歌开发的开源容器管理谷歌Kubernetes引擎以及GKE
On-Prem数据中心提供Anthos的混合功能,开发者可以自动获得最新的功能更新和安全补丁,并可以自由地管理在AWS和Azure等第三方云上运行的工作负载。

不过据介绍,Anthos暂不支持IBM、甲骨文或阿里巴巴的云计算服务,如果更多谷歌客户使用其他云服务,可能会增设这些兼容。

图片 6

Anthos还包括帮助开发者在部署中大规模自动化策略和安全性的功能:Anthos
Config
Management允许客户创建开箱即用的多集群策略,用于设置和实施基于角色的访问控制、资源配额和创建命名空间。

它适用于开源Istio微服务管理框架,为开发者提供可扩展的策略实施基础,让服务建立信任,并在不更改代码的情况下加密流量。

谷歌今天还宣布推出Anthos
Migrate测试版。它可以轻松地将虚拟机从本地部署或其他云自动迁移到GKE中的容器中,使得开发者可以在一个简化的动作中迁移和现代化其基础架构,无需对原始虚拟机或应用程序进行预先修改,让开发者可以更好地专注于管理和开发应用程序。

Anthos产品管理总监Jennifer
Lin说:“我们相信Anthos将成为未来几年的首选云平台。”她在现场展示了Anthos在AWS的云上运行。

谷歌表示正与30多家硬件、软件和系统集成合作伙伴合作,帮助客户立即使用Anthos。思科、戴尔EMC、VMware、惠普、英特尔、联想等合作伙伴已承诺在其自身的超融合基础架构上为其客户交付Anthos。

图片 7

谷歌云引入了多项更新:新的区域扩展、更快和更大的计算虚拟机、以及迁移和现代化企业工作负载(包括Windows和SAP)的解决方案。

Moor Insights&Strategy总裁兼首席分析师Patrick
Moorhead在推特上感慨道,从未想过能看谷歌云的名字和思科、惠普、联想、戴尔出现在同一张PPT上,不过他认为:“相比和这些伙伴一起在Chrome
OS平台上合作,谷歌更应该和硬件OEM提供商们合作。”

无服务器计算平台Cloud Run

无服务器计算堆栈的最新成员——Cloud
Run也在本次大会上官宣,这是一个新的“无服务器计算平台,用于内置可移植性的容器化应用程序”,并宣布推出Cloud
Run的测试版。

图片 8

传统的无服务器产品遇到了诸如受限运行时支持和供应商锁定等挑战。
开发人员经常面临一个艰难的决定:选择无服务器带的易用性和速度,或容器带来的灵活性和可移植性。

谷歌表示,Cloud
Run可以结合容器和无服务器的优势。它负责包括配置、扩展和管理服务器的所有基础架构管理,完全无需服务器,可在几秒钟内自动扩展或缩小网站流量,甚至可以根据流量降至零,确保开发者只需为实际使用的资源付费。

“该系统的优点在于,您只需花费几百毫秒的时间就可以使用它,并且只需几秒钟即可在数百万个内核上水平扩展。”谷歌主管产品管理总监Oren
Teich说。

用户可以在测试版中“运行无状态HTTP驱动的容器,而无需担心基础架构”。

图片 9

借助完全托管的无服务器环境,开发人员无需担心配置底层基础架构以及为应用程序提供动力所需的资源。
企业可以向戴尔等供应商提供一些无服务器产品,但不必担心仅限于供应商的软件合作伙伴。

Cloud Run环境可以单独使用,也可以与谷歌现有的Google Kubernetes
Engine集群集成,两者结合还将为开发者的堆栈提供一些特定的增强功能。

Cloud Run on
Kubernetes是容器管理的行业标准,它允许用户与部署在同一群集中的其他网络并行运行。美国航空航天公司的卫星图像部门Airbus
Aerial已经在Kubernetes上使用Cloud Run来处理和传输航拍图像。

网站地图xml地图