Güvenli Yazılım Tedarik Zincirleri için Google’ın Çığır Açan Çerçevesi

25 Mayıs 2023Ravie LakshmananYazılım Güvenliği / Tedarik Zinciri

Google Çarşamba günü duyurdu 0.1 Beta sürümü Kuruluşların yazılım tedarik zincirlerini güvence altına almaları için GUAC (Artifact Composition’ı Anlamak için Graph’ın kısaltması).

Bu amaçla, arama devi, geliştiricilerin kendi araçlarını ve politika motorlarını entegre etmeleri için açık kaynak çerçevesini bir API olarak kullanıma sunuyor.

GUAC, farklı kaynaklardan gelen yazılım güvenliği meta verilerini, yazılımlar arasındaki ilişkileri haritalandıran bir grafik veritabanında toplamayı ve kuruluşların bir yazılımın diğerini nasıl etkilediğini belirlemesine yardımcı olmayı amaçlar.

Google, belgelerinde “Artifakt Kompozisyonunu Anlamak için Grafik (GUAC), size yazılım tedarik zinciri güvenlik konumunuz hakkında düzenli ve eyleme geçirilebilir bilgiler verir” diyor.

“GUAC, SBOM’lar gibi yazılım güvenliği meta verilerini alır ve yazılım güvenliği konumunuzu tam olarak anlayabilmeniz için yazılımlar arasındaki ilişkinin haritasını çıkarır.”

Başka bir deyişle, risk profilinin daha iyi bir resmini oluşturmaya ve ilişkileri görselleştirmeye yardımcı olmak için Yazılım Malzeme Listesi (SBOM) belgelerini, SLSA onaylarını, OSV güvenlik açığı akışlarını, deps.dev içgörülerini ve bir şirketin dahili özel meta verilerini bir araya getirmek üzere tasarlanmıştır. eserler, paketler ve depolar arasında.

Böyle bir kurulumla amaç, yüksek profilli tedarik zinciri saldırılarının üstesinden gelmek, bir yama planı oluşturmak ve güvenlik ihlallerine hızla yanıt vermektir.

Google, “Örneğin, GUAC, bir oluşturucunun güvenliğinin ihlal edildiğini (örneğin, kimlik bilgisi sızıntısı veya kötü amaçlı yazılım alımı yoluyla) onaylamak ve ardından etkilenen yapıları sorgulamak için kullanılabilir” dedi.

“Bu, [chief information security officer] patlama yarıçapı içindeki herhangi bir yazılımın kullanımını yasaklayan bir politikayı kolayca oluşturmak için.”