26.05.2023 | GUAC 0.1 Beta: революционная платформа Google для защиты цепочек поставок ПО |
Google анонсировал бета-версию GUAC 0.1 Beta (Graph for Understanding Artifact Composition), которая предназначена для защиты цепочки поставок ПО. Google предоставил разработчикам платформу с открытым исходным кодом в качестве API для интеграции своих собственных инструментов и механизмов политики. GUAC стремится объединить метаданные безопасности ПО (такие как SBOM) из разных источников в графическую базу данных, которая отображает отношения между программами, помогая организациям определить, как одна часть программного обеспечения влияет на другую. Согласно документации Google, GUAC дает вам систематизированную и полезную информацию о состоянии безопасности вашей цепочки поставок ПО.
Другими словами, GUAC предназначен для объединения документов Software Bill of Materials (SBOM), аттестаций SLSA, каналов уязвимостей OSV, информации deps.dev и внутренних частных метаданных компании, чтобы помочь создать лучшую картину профиля рисков и визуализировать взаимосвязи между артефактами, пакетами и репозиториями. Цель проекта состоит в том, чтобы противостоять громким атакам на цепочку поставок, создать план исправления и быстро реагировать на инциденты. Например, GUAC можно использовать для подтверждения того, что сборщик скомпрометирован (например, в результате утечки учетных данных или заражения вредоносным ПО), а затем запрашивать уязвимые артефакты. Такая система позволяет директору по информационной безопасности (CISO) легко создать политику, запрещающую использование любого программного обеспечения в радиусе заражения. |
Проверить безопасность сайта