Η Google ανακοίνωσε την Πέμπτη ότι αναζητά συνεισφέροντες σε μια νέα πρωτοβουλία ανοιχτού κώδικα που ονομάζεται Graph for Understanding Artifact Composition , γνωστή και ως GUAC, στο πλαίσιο των συνεχιζόμενων προσπαθειών της να ενισχύσει την αλυσίδα εφοδιασμού λογισμικού .
“Το GUAC αντιμετωπίζει μια ανάγκη που δημιουργήθηκε από τις αυξανόμενες προσπάθειες σε όλο το οικοσύστημα για τη δημιουργία μεταδεδομένων κατασκευής λογισμικού, ασφάλειας και εξάρτησης”, ανέφεραν οι Brandon Lum, Mihai Maruseac και Isaac Hepworth της Google σε μια ανάρτηση τους.
“Το GUAC έχει σκοπό να εκδημοκρατίσει τη διαθεσιμότητα αυτών των πληροφοριών ασφαλείας καθιστώντας τις ελεύθερα προσβάσιμες και χρήσιμες για κάθε οργανισμό, όχι μόνο για αυτούς που διαθέτουν ασφάλεια και χρηματοδότηση πληροφορικής σε επιχειρηματική κλίμακα.”
Η αλυσίδα εφοδιασμού λογισμικού έχει αναδειχθεί ως ένας βασικός στόχος για τις επιθέσεις , όπου η εκμετάλλευση μιας μόνο αδυναμίας — όπως φαίνεται στην περίπτωση των SolarWinds και Log4Shell — ανοίγει ένα μονοπάτι αρκετά μακρύ για να διασχίσει την αλυσίδα εφοδιασμού και να κλέψει ευαίσθητα δεδομένα, να εγκαταστήσει κακόβουλο λογισμικό και να αναλάβει τον έλεγχο των συστημάτων που ανήκουν σε τρίτους χρήστες.
Η Google, πέρυσι, κυκλοφόρησε ένα πλαίσιο που ονομάζεται SLSA (συντομογραφία του Supply chain Levels for Software Artifacts) που στοχεύει να διασφαλίσει την ακεραιότητα των πακέτων λογισμικού και να αποτρέψει μη εξουσιοδοτημένες τροποποιήσεις.
Έχει επίσης κυκλοφορήσει μια ενημερωμένη έκδοση των Security Scorecards , τα οποία προσδιορίζουν τον κίνδυνο που μπορούν να εισαγάγουν οι εξαρτήσεις τρίτων σε ένα έργο, επιτρέποντας στους προγραμματιστές να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με την αποδοχή ευάλωτου κώδικα ή την εξέταση άλλων εναλλακτικών λύσεων.
Τον περασμένο Αύγουστο, η Google εισήγαγε περαιτέρω ένα πρόγραμμα επιβράβευσης σφαλμάτων για τον εντοπισμό τρωτών σημείων ασφαλείας που καλύπτουν μια σειρά από έργα όπως το Angular, το Bazel, το Golang, το Protocol Buffers και το Fuchsia.
Η GUAC είναι η τελευταία προσπάθεια της εταιρείας να ενισχύσει την υγεία της αλυσίδας εφοδιασμού. Αυτό επιτυγχάνεται με τη συγκέντρωση μεταδεδομένων ασφάλειας λογισμικού από ένα μείγμα δημόσιων και ιδιωτικών πηγών σε ένα «γράφημα γνώσης» που μπορεί να απαντήσει σε ερωτήσεις σχετικά με τους κινδύνους της εφοδιαστικής αλυσίδας.
Τα δεδομένα που αποτελούν τη βάση αυτής της αρχιτεκτονικής προέρχονται από Sigstore, GitHub, Open Source Vulnerabilities (OSV), Grype, και Trivy,, μεταξύ άλλων, για την εξαγωγή ουσιαστικών σχέσεων μεταξύ τρωτών σημείων, έργων, πόρων, προγραμματιστών, τεχνουργημάτων και αποθετηρίων.
“Η υποβολή ερωτημάτων σε αυτό το γράφημα μπορεί να οδηγήσει σε οργανωτικά αποτελέσματα υψηλότερου επιπέδου, όπως έλεγχος, πολιτική, διαχείριση κινδύνου, ακόμη και βοήθεια για προγραμματιστές”, δήλωσε η Google.
Με άλλα λόγια, η ιδέα είναι να συνδέσουμε τις διαφορετικές κουκκίδες μεταξύ ενός έργου και του προγραμματιστή του, μιας ευπάθειας και της αντίστοιχης έκδοσης λογισμικού, και του τεχνουργήματος και του αποθετηρίου προέλευσης στο οποίο ανήκει.
Ο στόχος, επομένως, είναι όχι μόνο να επιτραπεί στους οργανισμούς να προσδιορίσουν εάν επηρεάζονται από μια συγκεκριμένη ευπάθεια, αλλά και να εκτιμήσουν την ακτίνα έκρηξης σε περίπτωση που διακυβευτεί η εφοδιαστική αλυσίδα.
H Google φαίνεται επίσης να έχει επίγνωση των πιθανών απειλών που θα μπορούσαν να υπονομεύσουν το GUAC, συμπεριλαμβανομένων των σεναρίων όπου το σύστημα εξαπατάται για να απορροφήσει πλαστές πληροφορίες σχετικά με τεχνουργήματα και τα μεταδεδομένα τους, τα οποία αναμένει να μετριάσει μέσω της κρυπτογραφικής επαλήθευσης των εγγράφων δεδομένων.
“Η [GUAC] στοχεύει να ικανοποιήσει την περίπτωση χρήσης του να είναι ένα μοντέλο παρακολούθησης για την δημόσια αλυσίδαςεφοδιασμού λογισμικού και ασφάλειας καθώς και για εσωτερική χρήση από οργανισμούς για αναζήτηση πληροφοριών σχετικά με τεχνουργήματα που χρησιμοποιούν”, σημειώνεται στο αποθετήριο του έργου.
Πηγή άρθρου: https://thehackernews.com