Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
22.10.2022

Google решила встать на защиту цепочек поставок ПО

GUAC (Graph for Understanding Artifact Composition) разработан в сотрудничестве с Kusari, Университетом Пердью и Citi. Его цель – помочь организациям лучше понять цепочки поставок программного обеспечения. Инструмет объединяет метаданные из двух источников:

  • Фреймворка SLSA (Supply-chain Levels for Software Artifacts), предназначенного для защиты от атак на цепочки поставок;

  • SBOM (Software Bill of Materials) – списка всех сторонних компонентов и компонентов с открытым исходным кодом, который используется в кодовой базе ПО. Кроме того, SBOM может содержать информацию по уязвимостям, подлинности и дочерним зависимостям;

Собрав метаданные, GUAC объединяет их в высокоточную базу данных в виде графа. Для этого используется нормализация идентификторов объектов и отображение стандартных отношений между ними. Обращаясь к этому графу, организации могут улучшить свои процессы аудита и управления рисками и даже оказывать помощь разработчикам.

Согласно заявлению IT-гиганта, GUAC имеет четыре функциональные области:

  1. Сбор метаданных (из публичных источников, источников от первого лица и сторонних организаций);

  2. Получение данных (об артефактах, ресурсах, уязвимостях и т.д.);

  3. Cбор данных в целостный граф;

  4. Предоставление пользователю доступа к метаданным, связанным с сущностями в графе.

Эксперты считают, что инструмент может помочь определить риски, обнаружить критически важные библиотеки в ПО с открытым кодом, собрать информацию о зависимостях и повысить безопасность цепочки поставок.

Сейчас инструмент находится на ранних стадиях разработки, а на GitHub можно найти его PoC, поддерживающий документы SLSA, SBOM и Scorecard и простые запросы к метаданным. Дальнейшие усилия Google Будут направлены на расширение текущих возможностей GUAC. Компания заявила, что будет рада любой помощи и вкладу в виже кода или документации.

Кроме того, IT-гигант уже создал группу "технических консультантов", в которую входят специалисты из SPDX, CycloneDX Anchore, Aquasec, IBM, Intel и других компаний, которые должны помочь в развитии проекта.