{"id":422761,"date":"2022-10-20T16:29:35","date_gmt":"2022-10-20T18:29:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/google-lance-le-projet-open-source-guac-pour-securiser-la-chaine-dapprovisionnement-des-logiciels\/"},"modified":"2022-10-20T16:29:37","modified_gmt":"2022-10-20T18:29:37","slug":"google-lance-le-projet-open-source-guac-pour-securiser-la-chaine-dapprovisionnement-des-logiciels","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/google-lance-le-projet-open-source-guac-pour-securiser-la-chaine-dapprovisionnement-des-logiciels\/","title":{"rendered":"Google lance le projet Open Source GUAC pour s\u00e9curiser la cha\u00eene d&#8217;approvisionnement des logiciels"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Google a annonc\u00e9 jeudi qu&#8217;il recherchait des contributeurs pour une nouvelle initiative open source appel\u00e9e <b>Graphique pour comprendre la composition des artefacts<\/b>\u00e9galement connu sous le nom de GUAC, dans le cadre de ses efforts continus pour renforcer la cha\u00eene d&#8217;approvisionnement en logiciels.<\/p>\n<p>&#8220;GUAC r\u00e9pond \u00e0 un besoin cr\u00e9\u00e9 par les efforts croissants de l&#8217;\u00e9cosyst\u00e8me pour g\u00e9n\u00e9rer des m\u00e9tadonn\u00e9es de construction de logiciels, de s\u00e9curit\u00e9 et de d\u00e9pendance&#8221;, Brandon Lum, Mihai Maruseac et Isaac Hepworth de Google <a rel=\"nofollow noopener\" href=\"https:\/\/security.googleblog.com\/2022\/10\/announcing-guac-great-pairing-with-slsa.html\" target=\"_blank\">a dit<\/a> dans un post partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Le GUAC vise \u00e0 d\u00e9mocratiser la disponibilit\u00e9 de ces informations de s\u00e9curit\u00e9 en les rendant librement accessibles et utiles pour toutes les organisations, pas seulement celles disposant d&#8217;un financement informatique et de s\u00e9curit\u00e9 \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Des-chercheurs-detaillent-la-faille-Azure-SFX-qui-aurait-pu.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La cha\u00eene d&#8217;approvisionnement logicielle est devenue un vecteur d&#8217;attaque lucratif pour les acteurs de la menace, dans lequel l&#8217;exploitation d&#8217;une seule faiblesse &#8211; comme on l&#8217;a vu dans le cas de SolarWinds et de Log4Shell &#8211; ouvre une voie suffisamment longue pour parcourir la cha\u00eene d&#8217;approvisionnement et voler des donn\u00e9es sensibles, planter des logiciels malveillants, et prendre le contr\u00f4le des syst\u00e8mes appartenant aux clients en aval.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cha\u00eene d'approvisionnement logicielle\" border=\"0\" data-original-height=\"326\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666290574_147_Google-lance-le-projet-Open-Source-GUAC-pour-securiser-la.jpg\" title=\"Cha\u00eene d'approvisionnement logicielle\" \/><\/div>\n<p>Google, l&#8217;ann\u00e9e derni\u00e8re, a publi\u00e9 un cadre appel\u00e9 SLSA (abr\u00e9viation de niveaux de cha\u00eene d&#8217;approvisionnement pour les artefacts logiciels) qui vise \u00e0 garantir l&#8217;int\u00e9grit\u00e9 des progiciels et \u00e0 emp\u00eacher les modifications non autoris\u00e9es.<\/p>\n<p>Il a \u00e9galement lanc\u00e9 une version mise \u00e0 jour de Security Scorecards, qui <a rel=\"nofollow noopener\" href=\"https:\/\/securityscorecards.dev\/\" target=\"_blank\">identifie<\/a> le risque que les d\u00e9pendances tierces peuvent introduire dans un projet, permettant aux d\u00e9veloppeurs de prendre des d\u00e9cisions \u00e9clair\u00e9es sur l&#8217;acceptation de code vuln\u00e9rable ou d&#8217;envisager d&#8217;autres alternatives.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cha\u00eene d'approvisionnement logicielle\" border=\"0\" data-original-height=\"557\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666290575_194_Google-lance-le-projet-Open-Source-GUAC-pour-securiser-la.jpg\" title=\"Cha\u00eene d'approvisionnement logicielle\" \/><\/div>\n<p>En ao\u00fbt dernier, Google a en outre introduit un programme de primes de bogues pour identifier les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 couvrant un certain nombre de projets tels que Angular, Bazel, Golang, Protocol Buffers et Fuchsia.<\/p>\n<p>GUAC est le dernier effort de l&#8217;entreprise pour renforcer la sant\u00e9 de la cha\u00eene d&#8217;approvisionnement.  Il y parvient en agr\u00e9geant les m\u00e9tadonn\u00e9es de s\u00e9curit\u00e9 logicielle \u00e0 partir d&#8217;un m\u00e9lange de sources publiques et priv\u00e9es dans un \u00ab graphe de connaissances \u00bb qui peut r\u00e9pondre aux questions sur les risques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Les donn\u00e9es qui sous-tendent cette architecture sont issues de <a rel=\"nofollow noopener\" href=\"https:\/\/www.sigstore.dev\/\" target=\"_blank\">Sigstore<\/a>GitHub, <a rel=\"nofollow noopener\" href=\"https:\/\/osv.dev\/list\" target=\"_blank\">Vuln\u00e9rabilit\u00e9s Open Source<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/opensource.googleblog.com\/2021\/02\/launching-osv-better-vulnerability.html\" target=\"_blank\">OSV<\/a>), <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/anchore\/grype\" target=\"_blank\">grignoter<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/aquasecurity\/trivy\" target=\"_blank\">trivial<\/a>entre autres, pour \u00e9tablir des relations significatives entre les vuln\u00e9rabilit\u00e9s, les projets, les ressources, les d\u00e9veloppeurs, les artefacts et les r\u00e9f\u00e9rentiels.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;interrogation de ce graphique peut g\u00e9n\u00e9rer des r\u00e9sultats organisationnels de plus haut niveau tels que l&#8217;audit, la politique, la gestion des risques et m\u00eame l&#8217;assistance aux d\u00e9veloppeurs&#8221;, a d\u00e9clar\u00e9 Google.<\/p>\n<p>Autrement dit, l&#8217;id\u00e9e est de relier les diff\u00e9rents points entre un projet et son d\u00e9veloppeur, une vuln\u00e9rabilit\u00e9 et la version logicielle correspondante, et l&#8217;artefact et le r\u00e9f\u00e9rentiel source auquel il appartient.<\/p>\n<p>L&#8217;objectif est donc non seulement de permettre aux organisations de d\u00e9terminer si elles sont affect\u00e9es par une vuln\u00e9rabilit\u00e9 sp\u00e9cifique, mais \u00e9galement d&#8217;estimer le rayon de l&#8217;explosion en cas de compromission de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Cela dit, Google semble \u00e9galement \u00eatre conscient des menaces potentielles qui pourraient saper le GUAC, y compris les sc\u00e9narios dans lesquels le syst\u00e8me est amen\u00e9 \u00e0 ing\u00e9rer des informations falsifi\u00e9es sur les artefacts et leurs m\u00e9tadonn\u00e9es, qu&#8217;il s&#8217;attend \u00e0 att\u00e9nuer gr\u00e2ce \u00e0 la v\u00e9rification cryptographique des documents de donn\u00e9es.<\/p>\n<p>&#8220;[GUAC] vise \u00e0 satisfaire le cas d&#8217;utilisation d&#8217;\u00eatre un moniteur pour la cha\u00eene d&#8217;approvisionnement publique et les documents de s\u00e9curit\u00e9 ainsi que pour une utilisation interne par les organisations pour demander des informations sur les artefacts qu&#8217;ils utilisent \u00bb, le g\u00e9ant de l&#8217;internet <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/guacsec\/guac\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/google-launches-guac-open-source.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google a annonc\u00e9 jeudi qu&#8217;il recherchait des contributeurs pour une nouvelle initiative open source appel\u00e9e Graphique pour comprendre la composition des artefacts\u00e9galement connu sous le nom de GUAC, dans le cadre de ses efforts continus pour renforcer la cha\u00eene d&#8217;approvisionnement en logiciels. &#8220;GUAC r\u00e9pond \u00e0 un besoin cr\u00e9\u00e9 par les efforts croissants de l&#8217;\u00e9cosyst\u00e8me pour [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422762,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2953,4168,4158,4165,4161,3242,133,7755,118135,4157,4159,4171,4170,1647,4167,4589,4160,4163,4162,14531,185,2893,19071,4172,4169,11137,4166,4164],"class_list":["post-422761","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chaine","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dapprovisionnement","tag-des","tag-google","tag-guac","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lance","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-open","tag-pour","tag-projet","tag-securiser","tag-securite-informatique","tag-securite-internet","tag-source","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=422761"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422761\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/422762"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=422761"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=422761"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=422761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}