Google запустил бета-версию единого центра знаний о взаимодействиях ПО.
Google анонсировал бета-версию GUAC 0.1 Beta (Graph for Understanding Artifact Composition), которая предназначена для защиты цепочки поставок ПО. Google предоставил разработчикам платформу с открытым исходным кодом в качестве API для интеграции своих собственных инструментов и механизмов политики.
GUAC стремится объединить метаданные безопасности ПО (такие как SBOM) из разных источников в графическую базу данных, которая отображает отношения между программами, помогая организациям определить, как одна часть программного обеспечения влияет на другую.
Согласно документации Google, GUAC дает вам систематизированную и полезную информацию о состоянии безопасности вашей цепочки поставок ПО.
Другими словами, GUAC предназначен для объединения документов Software Bill of Materials (SBOM), аттестаций SLSA, каналов уязвимостей OSV, информации deps.dev и внутренних частных метаданных компании, чтобы помочь создать лучшую картину профиля рисков и визуализировать взаимосвязи между артефактами, пакетами и репозиториями.
Цель проекта состоит в том, чтобы противостоять громким атакам на цепочку поставок, создать план исправления и быстро реагировать на инциденты.
Например, GUAC можно использовать для подтверждения того, что сборщик скомпрометирован (например, в результате утечки учетных данных или заражения вредоносным ПО), а затем запрашивать уязвимые артефакты. Такая система позволяет директору по информационной безопасности (CISO) легко создать политику, запрещающую использование любого программного обеспечения в радиусе заражения.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале