Google’ın bu hafta duyurduğu yeni bir açık kaynak girişimi, yazılım tedarik zinciri güvenlik sorunlarını ele almak için endüstri çapındaki çabalarda iğneyi ilerletebilir.
Proje, GUAC veya Artefakt Kompozisyonunu Anlama Grafiği olarak adlandırılıyor. GUAC, kullanıma sunulduğunda geliştiricilere, güvenlik ekiplerine, denetçilere ve diğer kurumsal paydaşlara, uygulamalarındaki ve kod tabanlarındaki ayrı bileşenlerin güvenliği, kaynağı ve genel güvenilirliği hakkında bilgi için merkezi bir kaynak sağlayacaktır.
GUAC toplayacak ve sentezleyecek bu tür bir analiz için gereken tüm bilgiler – örneğin yazılım malzeme listesi, bilinen güvenlik açığı bilgileri ve belirli bir yazılımın nasıl oluşturulmuş olabileceğine ilişkin imzalı onaylar gibi – birden çok kaynaktan. Kullanıcılar, yazılımlarında en çok kullanılan kritik bileşenler, ilişkili bağımlılıklar ve olası zayıflıklar ve bunlardaki güvenlik açıkları hakkında bilgi için GUAC’ı sorgulayabilecektir.
Google’a göre GUAC, yazılım ve güvenlik ekiplerinin dağıtmak üzere oldukları bir uygulamanın kuruluş politikalarına uyup uymadığını ve üretimdeki tüm ikili dosyaların güvenli bir havuza kadar izlenip izlenmeyeceğini belirlemesine de izin verecek.
Çoklu Kullanım Durumları
Google, proaktif bir güvenlik ve operasyonel güvenlik açısından yararlı olmasının yanı sıra, GUAC’ın kuruluşların belirlenen tehditlere daha etkili bir şekilde yanıt vermesine de yardımcı olacağını söyledi. Örneğin, yeni bir güvenlik açığı açıklandığında, kuruluşlar yazılım envanterlerinin hangi bölümlerinin etkilenebileceğini belirlemek için GUAC’ı kullanabilecektir. Benzer şekilde, bir açık kaynak bileşeni kullanımdan kaldırıldıysa, GUAC geliştirme ve güvenlik ekiplerinin ortamları üzerindeki etkiyi hızla değerlendirmesine yardımcı olabilir.
Google’ın Açık Kaynak Güvenliği ekibinde kıdemli yazılım mühendisi olan Brandon Lum, kuruluşların GUAC’ı dahili olarak dağıtabileceğini veya yazılım meta verilerini incelemek için harici bir kaynak olarak kullanabileceğini söylüyor.
Lum, “GUAC, GitHub, Sigstore ve açık kaynak paket yöneticileri dahil olmak üzere çeşitli kaynaklardan yararlanacak” diyor. “Bir kuruluşta çalıştırılırsa, GUAC dahili kaynaklardan çekilecek şekilde yapılandırılabilir ve kuruluşa veya satıcıya özel iddiaları veya sertifikaları içerebilir.”
Bunların çoğu, yazılım tedarik zincirindeki güvenlik açıkları ve risklere ilişkin artan endişelere yanıt olarak büyük kuruluşların uygulamaya başladığı yeteneklerdir. SolarWinds ve Codecov gibi şirketlere yapılan saldırılar, tehdit aktörlerinin güvenilir satıcıların yazılım güncellemelerine kötü amaçlı yazılımlar ekleyerek büyük ölçekte kuruluşları nasıl tehlikeye atabileceğini gösterdi.
Daha yakın zamanlarda, tehdit aktörleri, kötü amaçlı yazılımı kuruluşlarına indirmek için geliştirme ekiplerini ve otomatik oluşturma araçlarını kandırmak amacıyla yaygın olarak kullanılan genel kod havuzlarına kötü amaçlı kod yerleştirmeye başladı.
Artan Endişe
Trend, kuruluşları yazılım bileşenlerinin güvenliğine daha fazla dikkat etmeye yönlendiriyor. Yazılımları için bir yazılım malzeme listesi (SBOM) oluşturma veya talep etme gibi uygulamalara ve Yazılım Eserleri için Tedarik Zinciri Düzeyleri gibi güvenlik çerçevelerinin kullanılmasına odaklanmayı artırmaktadır.SLSA) kurcalamaya ve savunmasız bileşenlere karşı korumak için. Başkan Biden tarafından Mayıs 2021’de imzalanan bir yürütme emri, açıkça tüm federal sivil yürütme organı kurumlarının dahili olarak geliştirdikleri yazılımlar için SBOM’ları korumasını ve bir dış satıcı veya yükleniciden tedarik ettikleri herhangi bir yazılım için bunları zorunlu kılıyor.
Kuruluşların yazılım tedarik zincirlerini incelemesi için gereken bilgilerin çoğu zaten çeşitli biçimlerde mevcuttur. Google’a göre GUAC, tüm verileri standart bir biçimde bir araya getirecek ve kullanılabilirliğini demokratikleştirecek.
Lum, herkesin GUAC’ı kullanabileceğini söylüyor. “GUAC çalıştırmak için tasarlanmıştır [both] bir kamu hizmeti olarak veya bir kuruluş içinde dahili olarak” diyor. “Örneğin, bir kuruluş kendi özel yazılımları için dahili olarak GUAC çalıştırabilir ve satıcı veya açık kaynaklı yazılım için genel bir örneği sorgulayabilir.”
ThreatQuotient’te pazar yeri ve ekosistem geliştirme direktörü Nigel Houghton, SBOM’ler oluşturmak veya belirli bir yazılım parçasını doğrulamak için kullanılabilecek sağlama toplamları ve imzalar gibi yazılım tedarik zinciri güvenliği ile ilişkili birkaç süreç ve araç olduğunu söylüyor.
Houghton, “Bu tür birçok bilgi kaynağı var, ancak bu bilgileri tek bir yerde birleştirmenin gerçek bir yolu yok” diyor. “[GUAC] Bunu yapmak için bir girişim ve sektörde umutsuzca ihtiyaç var.”
Houghton, GUAC’ı yazılım tedarik zincirinin güvenliğine daha fazla görünürlük sağlayarak hem tüketicilere hem de yazılım üreticilerine fayda sağlayan bir unsur olarak görmektedir.
“Satıcılara yazılım tedarik zincirlerinin güvenliğini gösterme şansı veriyor ve ayrıca onlara kendi tedarik zinciri güvenliğini daha iyi yönetebilecekleri konusunda görünürlük sağlıyor” diyor. “Ancak nihayetinde, tüketici, satın aldıkları veya kullandıkları yazılım için tedarik zincirini de doğrulayabilecekleri anlamına geldiği için en çok fayda sağlıyor.”
GUAC Prototipi
API güvenlik testi sağlayıcısı StackHawk’ın kurucu ortağı ve CSO’su Scott Gerlach, GUAC’ın zor bir sorunu çözmek için iyi bir başlangıç olduğunu söylüyor. İşin püf noktası, açık kaynak geliştiricilerin bu tür bir programa katılmasını sağlamak olacaktır.
“Onların teşviki nedir?” diye soruyor Gerlach. “Bunlar çoğu zaman problem çözme tutkusundan ve derin bir meraktan dolayı projeler üzerinde çalışan kişilerdir. OSS geliştiricilerini katılmaya teşvik etmek GUAC’ın başarısının anahtarı olacaktır.”
Bu, Houghton’un da sahip olduğu bir bakış açısı. “Buradaki en büyük zorluk, yazılım endüstrisinin bir bütün olarak benimsemesi olacak” diyor. Ancak GUAC, OpenSSF kapsamındaki bir proje olduğundan, en azından Linux tabanlı projeler için benimsenme şansının yüksek olması gerektiğini söylüyor.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin başka sorunları da görüyor. “Almayı planladıkları çok miktarda veriyi konsolide etmek ve normalleştirmek ilk zorluk olacak” diyor. Diğeri, verileri hem kullanışlı hem de kullanılabilir bir şekilde görselleştirmenin bir yolunu bulmaktır.
“Bunu başarabilirlerse, o zaman insanların onu kabul etmesini ve kullanmasını sağlamak çok daha kolay olacak” diyor.
Google, yazılım tedarik zinciri güvenliği girişimi Kusari, Citi ve Purdue Üniversitesi’ndeki araştırmacılarla işbirliği içinde GUAC’ın bir prototip sürümünü geliştirdi. Şirket şu anda bu çabaya katkıda bulunacak kişiler arıyor.