Google je u srijedu najavio 0.1 Beta verziju GUAC-a (Graph for Understanding Artifact Composition) za organizacije kako bi osigurale svoje lance nabavke softvera.
U tom cilju, gigant za pretragu stavlja na raspolaganje open source framework kao API za programere da integrišu sopstvene alate i mehanizme politike.
GUAC ima za cilj da agregira softverske sigurnosne metapodatke iz različitih izvora u bazu podataka grafikona koja prikazuje odnose između softvera, pomažući organizacijama da odrede kako jedan dio softvera utiče na drugi.
“Grafikon za razumijevanje sastava artefakata (GUAC) daje Vam organizovan i djelotvoran uvid u sigurnosnu poziciju Vašeg lanca nabavke softvera” navodi Google u svojoj dokumentaciji.
“GUAC unosi metapodatke o sigurnosti softvera, kao što su SBOM-ovi, i mapira odnos između softvera tako da možete u potpunosti razumjeti svoju sigurnosnu poziciju softvera.”
Drugim riječima, dizajniran je tako da objedini dokumente softverskog popisa materijala (SBOM), SLSA potvrde, izvore ranjivosti OSV-a, uvide u deps.dev i interne privatne metapodatke kompanije kako bi se stvorila bolja slika profila rizika i vizualizacija odnosa između artefakata, paketa i repozitorijuma.
Sa takvom postavkom, cilj je da se uhvati u koštac sa napadima na lanac snabdjevanja visokog profila, generiše plan zakrpe i brzo odgovori na bezbjednosne kompromise.
“Na primjer, GUAC se može koristiti za potvrdu da je builder kompromitovan, npr. putem curenja kredencijala ili unosa malicioznog softvera, a zatim zatražiti artefakte na koje se to odnosi” rekao je Google.
“Ovo omogućava CISO-u da lako kreira politiku za zabranu korištenja bilo kakvog softvera unutar radijusa eksplozije.”
Izvor: The Hacker News