Ngày 25 tháng 5 năm 2023Ravie Lakshmanan bảo mật phần mềm / Chuỗi cung ứng
Google hôm thứ Tư đã công bố Phiên bản 0.1 Beta của GUAC (viết tắt của Graph for Understanding Artifact Composition) dành cho các tổ chức nhằm đảm bảo an toàn cho chuỗi cung ứng phần mềm của họ.
Cuối cùng, gã khổng lồ tìm kiếm đang cung cấp khung nguồn mở dưới dạng API để các nhà phát triển tích hợp các công cụ và công cụ chính sách của riêng họ.
GUAC nhằm mục đích tổng hợp siêu dữ liệu bảo mật phần mềm từ các nguồn khác nhau vào cơ sở dữ liệu đồ thị vạch ra mối quan hệ giữa các phần mềm, giúp các tổ chức xác định cách một phần mềm ảnh hưởng đến phần mềm khác.
Google cho biết trong tài liệu của mình: “Biểu đồ để hiểu Thành phần tạo tác (GUAC) cung cấp cho bạn thông tin chi tiết có tổ chức và có thể hành động về vị trí bảo mật chuỗi cung ứng phần mềm của bạn”.
“GUAC nhập siêu dữ liệu bảo mật phần mềm, như SBOM và vạch ra mối quan hệ giữa phần mềm để bạn có thể hiểu đầy đủ vị trí bảo mật phần mềm của mình.”
Nói cách khác, nó được thiết kế để tập hợp các tài liệu Hóa đơn nguyên vật liệu phần mềm (SBOM), chứng thực SLSA, nguồn cấp dữ liệu lỗ hổng OSV, thông tin chi tiết về deps.dev và siêu dữ liệu riêng tư nội bộ của công ty để giúp tạo ra bức tranh rõ hơn về hồ sơ rủi ro và trực quan hóa các mối quan hệ giữa các hiện vật, gói và kho lưu trữ.
Với thiết lập như vậy, mục tiêu là giải quyết các cuộc tấn công chuỗi cung ứng cấp cao, tạo kế hoạch vá lỗi và nhanh chóng phản ứng với các thỏa hiệp bảo mật.
Google cho biết: “Ví dụ: GUAC có thể được sử dụng để xác nhận rằng một trình tạo bị xâm phạm (ví dụ: thông qua rò rỉ thông tin xác thực hoặc nhập phần mềm độc hại) và sau đó truy vấn các tạo phẩm bị ảnh hưởng”.
“Điều này cho phép [chief information security officer] để dễ dàng tạo chính sách cấm sử dụng bất kỳ phần mềm nào trong bán kính vụ nổ.”
