Google anunció el miércoles la Versión beta 0.1 de GUAC (abreviatura de Graph for Understanding Artifact Composition) para que las organizaciones aseguren sus cadenas de suministro de software.
Con ese fin, el gigante de las búsquedas es poner a disposición el marco de código abierto como una API para que los desarrolladores integren sus propias herramientas y motores de políticas.
GUAC tiene como objetivo agregar metadatos de seguridad de software de diferentes fuentes en una base de datos gráfica que mapea las relaciones entre el software, ayudando a las organizaciones a determinar cómo una pieza de software afecta a otra.
«Gráfico para comprender la composición de artefactos (GUAC) le brinda información organizada y procesable sobre la posición de seguridad de su cadena de suministro de software», Google dice en su documentación.
«GUAC ingiere metadatos de seguridad de software, como SBOM, y mapea la relación entre el software para que pueda comprender completamente su posición de seguridad de software».
En otras palabras, está diseñado para reunir documentos de lista de materiales de software (SBOM), atestaciones SLSA, fuentes de vulnerabilidad OSV, información de deps.dev y metadatos privados internos de una empresa para ayudar a crear una mejor imagen del perfil de riesgo y visualizar las relaciones. entre artefactos, paquetes y repositorios.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Con una configuración de este tipo, el objetivo es hacer frente a los ataques de cadena de suministro de alto perfil, generar un plan de parches y responder rápidamente a los compromisos de seguridad.
«Por ejemplo, GUAC se puede usar para certificar que un constructor está comprometido (por ejemplo, a través de la fuga de credenciales o la ingestión de malware) y luego consultar los artefactos afectados», dijo Google.
«Esto permite que la [chief information security officer] para crear fácilmente una política para prohibir el uso de cualquier software dentro del radio de explosión».