Güvenli Yazılım Tedarik Zincirleri için Google’ın Çığır Açan Çerçevesi

25 Mayıs 2023Ravie LakshmananYazılım Güvenliği / Tedarik Zinciri

Google Çarşamba günü duyurdu 0.1 Beta sürümü ile ilgili GUAC (Artifact Composition’ı Anlamak için Graph’ın kısaltması), kuruluşların yazılım tedarik zincirlerini güvence altına almaları için.

Bu amaçla, arama devi kullanılabilir kılmak geliştiricilerin kendi araçlarını ve ilke motorlarını entegre etmeleri için bir API olarak açık kaynak çerçevesi.

GUAC farklı kaynaklardan gelen yazılım güvenliği meta verilerini, yazılımlar arasındaki ilişkilerin haritasını çıkaran bir grafik veritabanında toplamayı amaçlar ve kuruluşların bir yazılımın diğerini nasıl etkilediğini belirlemesine yardımcı olur.

“Artifakt Kompozisyonunu Anlamak İçin Grafik (GUAC), size yazılım tedarik zinciri güvenliği konumunuz hakkında düzenli ve eyleme geçirilebilir içgörüler sağlar”, Google diyor belgelerinde.

“GUAC, SBOM’lar gibi yazılım güvenliği meta verilerini alır ve yazılım güvenliği konumunuzu tam olarak anlayabilmeniz için yazılımlar arasındaki ilişkinin haritasını çıkarır.”

Başka bir deyişle, risk profilinin daha iyi bir resmini oluşturmaya ve ilişkileri görselleştirmeye yardımcı olmak için Yazılım Malzeme Listesi (SBOM) belgelerini, SLSA onaylarını, OSV güvenlik açığı akışlarını, deps.dev içgörülerini ve bir şirketin dahili özel meta verilerini bir araya getirmek üzere tasarlanmıştır. eserler, paketler ve depolar arasında.

Böyle bir kurulumla amaç, yüksek profilli tedarik zinciri saldırılarının üstesinden gelmek, bir yama planı oluşturmak ve güvenlik ihlallerine hızla yanıt vermektir.

Google, “Örneğin, GUAC, bir oluşturucunun güvenliğinin ihlal edildiğini (örneğin, kimlik bilgisi sızıntısı veya kötü amaçlı yazılım alımı yoluyla) onaylamak ve ardından etkilenen yapıları sorgulamak için kullanılabilir” dedi.

“Bu, [chief information security officer] patlama yarıçapı içindeki herhangi bir yazılımın kullanımını yasaklayan bir politikayı kolayca oluşturmak için.”