GUAC 0.1 Beta: Kerangka Kerja Terobosan Google untuk Rantai Pasokan Perangkat Lunak yang Aman
25 Mei 2023Ravie LakshmananKeamanan Perangkat Lunak / Rantai Pasokan
Google pada hari Rabu mengumumkan 0,1 versi Beta GUAC (kependekan dari Graph for Understanding Artifact Composition) bagi organisasi untuk mengamankan rantai pasokan perangkat lunak mereka.
Untuk mencapai tujuan tersebut, raksasa pencarian ini menyediakan kerangka kerja sumber terbuka sebagai API bagi pengembang untuk mengintegrasikan alat dan mesin kebijakan mereka sendiri.
GUAC bertujuan untuk mengumpulkan metadata keamanan perangkat lunak dari berbagai sumber ke dalam database grafik yang memetakan hubungan antar perangkat lunak, membantu organisasi menentukan bagaimana satu perangkat lunak memengaruhi perangkat lunak lainnya.
“Graph for Understanding Artifact Composition (GUAC) memberi Anda wawasan yang terorganisir dan dapat ditindaklanjuti mengenai posisi keamanan rantai pasokan perangkat lunak Anda,” kata Google dalam dokumentasinya.
“GUAC menyerap metadata keamanan perangkat lunak, seperti SBOM, dan memetakan hubungan antar perangkat lunak sehingga Anda dapat sepenuhnya memahami posisi keamanan perangkat lunak Anda.”
Dengan kata lain, ini dirancang untuk menyatukan dokumen Software Bill of Materials (SBOM), pengesahan SLSA, data kerentanan OSV, wawasan deps.dev, dan metadata pribadi internal perusahaan untuk membantu menciptakan gambaran yang lebih baik tentang profil risiko dan memvisualisasikan hubungannya. antara artefak, paket, dan repositori.
Dengan pengaturan seperti ini, tujuannya adalah untuk mengatasi serangan rantai pasokan tingkat tinggi, menghasilkan rencana patch, dan merespons dengan cepat terhadap gangguan keamanan.
“Misalnya, GUAC dapat digunakan untuk menyatakan bahwa suatu pembangun telah disusupi (misalnya, melalui kebocoran kredensial atau penyerapan malware) dan kemudian menanyakan artefak yang terpengaruh,” kata Google.
“Ini memungkinkan [chief information security officer] untuk dengan mudah membuat kebijakan yang melarang penggunaan perangkat lunak apa pun dari dalam radius ledakan.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
