Site icon Kiber.ba

GUAC 0.1 Beta: Google framework za sigurne lance nabavke softvera

Google je u srijedu najavio 0.1 Beta verziju GUAC-a (Graph for Understanding Artifact Composition) za organizacije kako bi osigurale svoje lance nabavke softvera.

U tom cilju, gigant za pretragu stavlja na raspolaganje open source framework kao API za programere da integrišu sopstvene alate i mehanizme politike.

GUAC ima za cilj da agregira softverske sigurnosne metapodatke iz različitih izvora u bazu podataka grafikona koja prikazuje odnose između softvera, pomažući organizacijama da odrede kako jedan dio softvera utiče na drugi.

“Grafikon za razumijevanje sastava artefakata (GUAC) daje Vam organizovan i djelotvoran uvid u sigurnosnu poziciju Vašeg lanca nabavke softvera” navodi Google u svojoj dokumentaciji.

“GUAC unosi metapodatke o sigurnosti softvera, kao što su SBOM-ovi, i mapira odnos između softvera tako da možete u potpunosti razumjeti svoju sigurnosnu poziciju softvera.”

Drugim riječima, dizajniran je tako da objedini dokumente softverskog popisa materijala (SBOM), SLSA potvrdeizvore ranjivosti OSV-auvide u deps.dev i interne privatne metapodatke kompanije kako bi se stvorila bolja slika profila rizika i vizualizacija odnosa između artefakata, paketa i repozitorijuma.

Sa takvom postavkom, cilj je da se uhvati u koštac sa napadima na lanac snabdjevanja visokog profila, generiše plan zakrpe i brzo odgovori na bezbjednosne kompromise.

“Na primjer, GUAC se može koristiti za potvrdu da je builder kompromitovan, npr. putem curenja kredencijala ili unosa malicioznog softvera, a zatim zatražiti artefakte na koje se to odnosi” rekao je Google.

“Ovo omogućava CISO-u da lako kreira politiku za zabranu korištenja bilo kakvog softvera unutar radijusa eksplozije.”

Izvor: The Hacker News

Exit mobile version