Hôm thứ Năm, Google đã thông báo rằng họ đang tìm kiếm những người đóng góp cho một sáng kiến nguồn mở mới được gọi là Đồ thị để Hiểu Thành phần Tạo tác, còn được gọi là GUAC, như một phần trong nỗ lực không ngừng nhằm củng cố chuỗi cung ứng phần mềm.
“GUAC giải quyết nhu cầu được tạo ra bởi những nỗ lực đang phát triển trên toàn hệ sinh thái để tạo siêu dữ liệu xây dựng, bảo mật và phụ thuộc phần mềm”, Brandon Lum, Mihai Marrorsc và Isaac Hepworth của Google cho biết trong một bài đăng được chia sẻ với The Hacker News.
“GUAC có nghĩa là dân chủ hóa sự sẵn có của thông tin bảo mật này bằng cách làm cho nó có thể truy cập tự do và hữu ích cho mọi tổ chức, không chỉ những tổ chức có bảo mật quy mô doanh nghiệp và tài trợ CNTT.”
Chuỗi cung ứng phần mềm đã xuất hiện một vectơ tấn công sinh lợi cho các tác nhân đe dọa, trong đó chỉ khai thác một điểm yếu – như trong trường hợp của SolarWinds và Log4Shell – sẽ mở ra một con đường đủ dài để đi qua chuỗi cung ứng và đánh cắp dữ liệu nhạy cảm, phần mềm độc hại, và kiểm soát các hệ thống thuộc về khách hàng hạ nguồn.
Năm ngoái, Google đã phát hành một khuôn khổ được gọi là SLSA (viết tắt của Cấp độ chuỗi cung ứng cho Phần mềm tạo tác) nhằm mục đích đảm bảo tính toàn vẹn của các gói phần mềm và ngăn chặn các sửa đổi trái phép.
Nó cũng đã tung ra một phiên bản cập nhật của Thẻ điểm bảo mật, xác định rủi ro phụ thuộc của bên thứ ba có thể gây ra cho một dự án, cho phép các nhà phát triển đưa ra quyết định sáng suốt về việc chấp nhận mã dễ bị tấn công hoặc xem xét các lựa chọn thay thế khác.
Tháng 8 vừa qua, Google đã giới thiệu thêm một chương trình tiền thưởng lỗi để xác định các lỗ hổng bảo mật trong một số dự án như Angular, Bazel, Golang, Protocol Buffers và Fuchsia.
GUAC là nỗ lực mới nhất của công ty nhằm tăng cường sức khỏe của chuỗi cung ứng. Nó đạt được điều này bằng cách tổng hợp siêu dữ liệu bảo mật phần mềm từ hỗn hợp các nguồn công khai và tư nhân thành một “biểu đồ tri thức” có thể trả lời các câu hỏi về rủi ro chuỗi cung ứng.
Dữ liệu làm nền tảng cho kiến trúc này được lấy từ Sigstore, GitHub, Lỗ hổng nguồn mở (OSV), Grype và Trivy, trong số những người khác, để tạo ra các mối quan hệ có ý nghĩa giữa các lỗ hổng, dự án, tài nguyên, nhà phát triển, tạo tác và kho lưu trữ.
“Truy vấn biểu đồ này có thể thúc đẩy các kết quả tổ chức cấp cao hơn như kiểm toán, chính sách, quản lý rủi ro và thậm chí là hỗ trợ nhà phát triển”, Google cho biết.
Nói cách khác, ý tưởng là kết nối các điểm khác nhau giữa một dự án và nhà phát triển của nó, một lỗ hổng bảo mật và phiên bản phần mềm tương ứng, cũng như tạo tác và kho lưu trữ nguồn mà nó thuộc về.
Do đó, mục đích không chỉ cho phép các tổ chức xác định xem họ có bị ảnh hưởng bởi một lỗ hổng cụ thể hay không, mà còn ước tính bán kính vụ nổ nếu chuỗi cung ứng bị tổn hại.
Điều đó nói rằng, Google dường như cũng nhận thức được các mối đe dọa tiềm ẩn có thể làm suy yếu GUAC, bao gồm cả các tình huống trong đó hệ thống bị lừa nhập thông tin giả mạo về các hiện vật và siêu dữ liệu của chúng, mà nó hy vọng sẽ giảm thiểu thông qua xác minh mật mã của các tài liệu dữ liệu.
“[GUAC] nhằm đáp ứng trường hợp sử dụng là giám sát chuỗi cung ứng công cộng và các tài liệu bảo mật cũng như sử dụng nội bộ của các tổ chức để truy vấn thông tin về các hiện vật mà họ sử dụng “, gã khổng lồ internet lưu ý.
