Google anunci\u00f3 el jueves que est\u00e1 buscando colaboradores para una nueva iniciativa de c\u00f3digo abierto llamada Gr\u00e1fico para comprender la composici\u00f3n de los artefactos<\/b>tambi\u00e9n conocido como GUAC, como parte de sus esfuerzos continuos para reforzar la cadena de suministro de software.<\/p>\n
“GUAC aborda una necesidad creada por los crecientes esfuerzos en todo el ecosistema para generar metadatos de dependencia, seguridad y compilaci\u00f3n de software”, Brandon Lum, Mihai Maruseac e Isaac Hepworth de Google dijo<\/a> en una publicaci\u00f3n compartida con The Hacker News.<\/p>\n “GUAC est\u00e1 destinado a democratizar la disponibilidad de esta informaci\u00f3n de seguridad al hacerla de libre acceso y \u00fatil para todas las organizaciones, no solo para aquellas con seguridad a escala empresarial y financiamiento de TI”.<\/p>\n La cadena de suministro de software se ha convertido en un vector de ataque lucrativo para los actores de amenazas, en el que explotar solo una debilidad, como se vio en el caso de SolarWinds y Log4Shell, abre un camino lo suficientemente largo como para atravesar la cadena de suministro y robar datos confidenciales, plantar malware, y tomar el control de los sistemas pertenecientes a clientes intermedios.<\/p>\n Google, el a\u00f1o pasado, lanz\u00f3 un marco llamado SLSA (abreviatura de Niveles de cadena de suministro para artefactos de software) que tiene como objetivo garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas.<\/p>\n Tambi\u00e9n ha lanzado una versi\u00f3n actualizada de Security Scorecards, que identifica<\/a> el riesgo que las dependencias de terceros pueden introducir en un proyecto, lo que permite a los desarrolladores tomar decisiones informadas sobre la aceptaci\u00f3n de c\u00f3digo vulnerable o la consideraci\u00f3n de otras alternativas.<\/p>\n En agosto pasado, Google introdujo adem\u00e1s un programa de recompensas por errores para identificar vulnerabilidades de seguridad que abarcan una serie de proyectos como Angular, Bazel, Golang, Protocol Buffers y Fuchsia.<\/p>\n GUAC es el \u00faltimo esfuerzo de la compa\u00f1\u00eda para reforzar la salud de la cadena de suministro. Lo logra mediante la agregaci\u00f3n de metadatos de seguridad de software de una combinaci\u00f3n de fuentes p\u00fablicas y privadas en un “gr\u00e1fico de conocimiento” que puede responder preguntas sobre los riesgos de la cadena de suministro.<\/p>\n Los datos que sustentan esta arquitectura se derivan de Sigstore<\/a>GitHub, Vulnerabilidades de c\u00f3digo abierto<\/a> (OSV<\/a>), Grype<\/a>y curiosidades<\/a>entre otros, para derivar relaciones significativas entre vulnerabilidades, proyectos, recursos, desarrolladores, artefactos y repositorios.<\/p>\n “Consultar este gr\u00e1fico puede generar resultados organizacionales de mayor nivel, como auditor\u00edas, pol\u00edticas, gesti\u00f3n de riesgos e incluso asistencia para desarrolladores”, dijo Google.<\/p>\n Dicho de otra manera, la idea es conectar los diferentes puntos entre un proyecto y su desarrollador, una vulnerabilidad y la versi\u00f3n de software correspondiente, y el artefacto y el repositorio de origen al que pertenece.<\/p>\n El objetivo, por lo tanto, es no solo permitir que las organizaciones determinen si est\u00e1n afectadas por una vulnerabilidad espec\u00edfica, sino tambi\u00e9n estimar el radio de explosi\u00f3n en caso de que la cadena de suministro se vea comprometida.<\/p>\n Dicho esto, Google tambi\u00e9n parece ser consciente de las amenazas potenciales que podr\u00edan socavar el GUAC, incluidos escenarios en los que se enga\u00f1a al sistema para que ingiera informaci\u00f3n falsificada sobre artefactos y sus metadatos, que espera mitigar mediante la verificaci\u00f3n criptogr\u00e1fica de documentos de datos.<\/p>\n “[GUAC] tiene como objetivo satisfacer el caso de uso de ser un monitor para la cadena de suministro p\u00fablica y los documentos de seguridad, as\u00ed como para el uso interno de las organizaciones para consultar informaci\u00f3n sobre los artefactos que utilizan”, el gigante de Internet se\u00f1alado<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Google-lanza-el-proyecto-de-codigo-abierto-GUAC-para-proteger.png\")
<\/a><\/div>\n![\"Cadena](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666288512_502_Google-lanza-el-proyecto-de-codigo-abierto-GUAC-para-proteger.jpg\" "\\"Cadena")
<\/div>\n![\"Cadena](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666288512_959_Google-lanza-el-proyecto-de-codigo-abierto-GUAC-para-proteger.jpg\" "\\"Cadena")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n