Новости GUAC 0.1 Beta: революционная платформа Google для защиты цепочек поставок ПО

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Google запустил бета-версию единого центра знаний о взаимодействиях ПО.


uiw2io3pbq2ki88d74dc74b1p1qdtz94.jpg


Google анонсировал бета-версию Для просмотра ссылки Войди или Зарегистрируйся (Graph for Understanding Artifact Composition), которая предназначена для защиты цепочки поставок ПО. Google предоставил разработчикам платформу с открытым исходным кодом в качестве API для интеграции своих собственных инструментов и механизмов политики.

GUAC стремится объединить метаданные безопасности ПО (такие как SBOM) из разных источников в графическую базу данных, которая отображает отношения между программами, помогая организациям определить, как одна часть программного обеспечения влияет на другую.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Google, Для просмотра ссылки Войди или Зарегистрируйся дает вам систематизированную и полезную информацию о состоянии безопасности вашей цепочки поставок ПО.


o62ohodffn95eajfvd019qt2hlk4udns.png


Другими словами, GUAC предназначен для объединения документов Software Bill of Materials (SBOM), аттестаций SLSA, каналов уязвимостей OSV, информации deps.dev и внутренних частных метаданных компании, чтобы помочь создать лучшую картину профиля рисков и визуализировать взаимосвязи между артефактами, пакетами и репозиториями.

Цель проекта состоит в том, чтобы противостоять громким атакам на цепочку поставок, создать план исправления и быстро реагировать на инциденты.

Например, GUAC можно использовать для подтверждения того, что сборщик скомпрометирован (например, в результате утечки учетных данных или заражения вредоносным ПО), а затем запрашивать уязвимые артефакты. Такая система позволяет директору по информационной безопасности (CISO) легко создать политику, запрещающую использование любого программного обеспечения в радиусе заражения.
 
Источник новости
www.securitylab.ru

Похожие темы