×

Google решила встать на защиту цепочек поставок ПО

Google решила встать на защиту цепочек поставок ПО

Компания представила GUAC – новый инструмент с открытым исходным кодом, который должен помочь разработчикам обезопасить цепочки поставок ПО.

GUAC (Graph for Understanding Artifact Composition) разработан в сотрудничестве с Kusari, Университетом Пердью и Citi. Его цель – помочь организациям лучше понять цепочки поставок программного обеспечения. Инструмет объединяет метаданные из двух источников:

  • Фреймворка SLSA (Supply-chain Levels for Software Artifacts), предназначенного для защиты от атак на цепочки поставок;

  • SBOM (Software Bill of Materials) – списка всех сторонних компонентов и компонентов с открытым исходным кодом, который используется в кодовой базе ПО. Кроме того, SBOM может содержать информацию по уязвимостям, подлинности и дочерним зависимостям;

Собрав метаданные, GUAC объединяет их в высокоточную базу данных в виде графа. Для этого используется нормализация идентификторов объектов и отображение стандартных отношений между ними. Обращаясь к этому графу, организации могут улучшить свои процессы аудита и управления рисками и даже оказывать помощь разработчикам.

Согласно заявлению IT-гиганта, GUAC имеет четыре функциональные области:

  1. Сбор метаданных (из публичных источников, источников от первого лица и сторонних организаций);

  2. Получение данных (об артефактах, ресурсах, уязвимостях и т.д.);

  3. Cбор данных в целостный граф;

  4. Предоставление пользователю доступа к метаданным, связанным с сущностями в графе.

Эксперты считают, что инструмент может помочь определить риски, обнаружить критически важные библиотеки в ПО с открытым кодом, собрать информацию о зависимостях и повысить безопасность цепочки поставок.

Сейчас инструмент находится на ранних стадиях разработки, а на GitHub можно найти его PoC, поддерживающий документы SLSA, SBOM и Scorecard и простые запросы к метаданным. Дальнейшие усилия Google Будут направлены на расширение текущих возможностей GUAC. Компания заявила, что будет рада любой помощи и вкладу в виже кода или документации.

Кроме того, IT-гигант уже создал группу "технических консультантов", в которую входят специалисты из SPDX, CycloneDX Anchore, Aquasec, IBM, Intel и других компаний, которые должны помочь в развитии проекта.

Данные корпоративного справочника «Билайна» оказались в открытом доступе

Пресс-служба мобильного оператора подтвердила факт утечки. Проводится «расследование по выявлению причин произошедшего».

ITU: Доступ в интернет стал доступнее

Тем не менее самые бедные слои населения по-прежнему лишены выхода в сеть

Новый паспорт и переезд на запад в обмен на слив

За слив баз данных работникам российских банков стали предлагать переезд за границу.