GUAC 0.1 Beta: революционная платформа Google для защиты цепочек поставок ПО

Google анонсировал бета-версию GUAC 0.1 Beta (Graph for Understanding Artifact Composition), которая предназначена для защиты цепочки поставок ПО. Google предоставил разработчикам платформу с открытым исходным кодом в качестве API для интеграции своих собственных инструментов и механизмов политики.

GUAC стремится объединить метаданные безопасности ПО (такие как SBOM) из разных источников в графическую базу данных, которая отображает отношения между программами, помогая организациям определить, как одна часть программного обеспечения влияет на другую.

Согласно документации Google, GUAC дает вам систематизированную и полезную информацию о состоянии безопасности вашей цепочки поставок ПО.

Другими словами, GUAC предназначен для объединения документов Software Bill of Materials (SBOM), аттестаций SLSA, каналов уязвимостей OSV, информации deps.dev и внутренних частных метаданных компании, чтобы помочь создать лучшую картину профиля рисков и визуализировать взаимосвязи между артефактами, пакетами и репозиториями.

Цель проекта состоит в том, чтобы противостоять громким атакам на цепочку поставок, создать план исправления и быстро реагировать на инциденты.

Например, GUAC можно использовать для подтверждения того, что сборщик скомпрометирован (например, в результате утечки учетных данных или заражения вредоносным ПО), а затем запрашивать уязвимые артефакты. Такая система позволяет директору по информационной безопасности (CISO) легко создать политику, запрещающую использование любого программного обеспечения в радиусе заражения.