More

    GUAC 0.1 Beta: Google framework za sigurne lance nabavke softvera

    Google je u srijedu najavio 0.1 Beta verziju GUAC-a (Graph for Understanding Artifact Composition) za organizacije kako bi osigurale svoje lance nabavke softvera.

    U tom cilju, gigant za pretragu stavlja na raspolaganje open source framework kao API za programere da integrišu sopstvene alate i mehanizme politike.

    GUAC ima za cilj da agregira softverske sigurnosne metapodatke iz različitih izvora u bazu podataka grafikona koja prikazuje odnose između softvera, pomažući organizacijama da odrede kako jedan dio softvera utiče na drugi.

    “Grafikon za razumijevanje sastava artefakata (GUAC) daje Vam organizovan i djelotvoran uvid u sigurnosnu poziciju Vašeg lanca nabavke softvera” navodi Google u svojoj dokumentaciji.

    “GUAC unosi metapodatke o sigurnosti softvera, kao što su SBOM-ovi, i mapira odnos između softvera tako da možete u potpunosti razumjeti svoju sigurnosnu poziciju softvera.”

    Drugim riječima, dizajniran je tako da objedini dokumente softverskog popisa materijala (SBOM), SLSA potvrdeizvore ranjivosti OSV-auvide u deps.dev i interne privatne metapodatke kompanije kako bi se stvorila bolja slika profila rizika i vizualizacija odnosa između artefakata, paketa i repozitorijuma.

    Sa takvom postavkom, cilj je da se uhvati u koštac sa napadima na lanac snabdjevanja visokog profila, generiše plan zakrpe i brzo odgovori na bezbjednosne kompromise.

    “Na primjer, GUAC se može koristiti za potvrdu da je builder kompromitovan, npr. putem curenja kredencijala ili unosa malicioznog softvera, a zatim zatražiti artefakte na koje se to odnosi” rekao je Google.

    “Ovo omogućava CISO-u da lako kreira politiku za zabranu korištenja bilo kakvog softvera unutar radijusa eksplozije.”

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories