Diagramm zum Verständnis der Artefaktzusammensetzung (GUAC): Wichtige Highlights

Alle Beiträge

Barak Brudo

Die Risiken, mit denen man konfrontiert ist Software-Lieferketten haben ihren Platz an der Spitze der Gespräche im Cybersicherheits-Ökosystem eingenommen. Dies ist teilweise auf die erhöhte Häufigkeit dieser Fälle zurückzuführen Angriffe auf die Lieferkette, sondern auch wegen der potenziell weitreichenden Auswirkungen, die sie haben könnten, wenn sie tatsächlich eintreten.

Zahlen aus dem Jahr 2021 zeigten Angriffe auf die Software-Lieferkette Frequenz verdreifacht gegenüber dem Vorjahr, ein Trend, der sich in Zukunft voraussichtlich nicht abschwächen wird. Glücklicherweise führt das wachsende Bewusstsein für das Risiko von Angriffen auf die Software-Lieferkette zu einer Vielzahl potenziell nützlicher Maßnahmen. Eine dieser jüngsten Maßnahmen ist die Ausstellung einer Executive Order zur Cybersicherheit von der Regierung der Vereinigten Staaten.

Noch beruhigender ist das wachsende Interesse vieler großer Akteure an der gemeinsamen Einführung von Maßnahmen, die im Kampf gegen die wachsende Bedrohung durch böswillige Akteure, die es auf Software-Lieferketten abgesehen haben, hilfreich sein können. Im Oktober 2022, Google kündigte ein neues Open-Source-Projekt namens Graph for Understanding Artifact Composition (kurz GUAC). Obwohl sich diese Initiative noch in einem frühen Stadium befindet, finden wir sie recht interessant, da sie das Potenzial hat, das aktuelle Verständnis der Branche über Software-Lieferketten zu verändern und fortschrittliche Maßnahmen zur weiteren Eindämmung dieser Bedrohungen einzuführen.

Warum GUAC? Warum jetzt?

Als Organisation besteht die Hauptaufgabe von Google darin, die Informationen der Welt zu organisieren und sie allgemein zugänglich und nutzbar zu machen. Der Graph for Understanding Artifact Composition (GUAC) steht im Einklang mit dieser Mission, soweit es die Welt der Cybersicherheit betrifft. Das Ziel von GUAC besteht darin, Sicherheitsinformationen auf höchstem Niveau für alle Organisationen verfügbar zu machen, auch für diejenigen, die nicht über das IT-Budget oder die unternehmensweite Sicherheitsinfrastruktur verfügen, um diese Informationen selbst zu erhalten.

GUAC ist ein Versuch, wertvolle Softwaresicherheitsmetadaten in einer hochauflösenden Diagrammdatenbank zusammenzufassen. Die Datenbank wird nicht nur die Identität verschiedener Softwareeinheiten enthalten, sondern auch die Standardbeziehung zwischen ihnen detailliert beschreiben.

Die gemeinschaftliche Zusammenarbeit verschiedener Gruppen hat zu Richtliniendokumentationen wie der geführt Software-Stücklisten (SBOMs), signierte Bescheinigungen, die detailliert beschreiben, wie Software erstellt wird (z. B SLSA) und Datenbanken, die das Erkennen und Beseitigen von Schwachstellen erleichtern, wie die Global Security Database (GSD). GUAC wird dazu beitragen, die in all diesen Datenbanken verfügbaren Informationen zu kombinieren und zu synthetisieren und sie in einem umfassenderen Format zu organisieren. Auf diese Weise kann jeder die Antworten finden, die er auf hochrangige Sicherheitsfragen zu allen Software-Assets benötigt, die er verwenden möchte.

Ein Bild des logischen Modells für die Transparenz der Software-Lieferkette

Quelle: Google-Sicherheitsblog

GUAC deckt drei Phasen der Software-Lieferkettensicherheit ab

GUAC ist eine kostenlose Open-Source-Plattform, die die verschiedenen Quellen von Softwaresicherheitsmetadaten in einer einzigen Quelle zusammenfasst. Als Sicherheitstool wird GUAC für Unternehmen in den drei Phasen der Sicherung ihrer Software-Infrastruktur vor Angriffen auf die Lieferkette nützlich sein. So wird es für jede dieser Phasen nützlich sein:

Stufe Nr. 1: Proaktiv

In der proaktiven Phase ergreifen Sie Maßnahmen, um zu verhindern, dass es überhaupt zu groß angelegten Softwarekompromissen kommt. In dieser Phase möchten Sie die kritischen Komponenten Ihres Software-Supply-Chain-Ökosystems kennen, die Sie am häufigsten verwenden. GUAC erleichtert Ihnen die Identifizierung dieser Komponenten. Mit GUAC können Sie Schwachstellen in Ihrer gesamten Sicherheitsinfrastruktur identifizieren, einschließlich Bereichen, in denen Sie riskanten Abhängigkeiten ausgesetzt sind. Auf diese Weise sind Sie besser in der Lage, Angriffe zu verhindern, bevor sie passieren.

Stufe Nr. 2: Betriebsbereit

Die Betriebsphase ist die präventive Phase, in der Sie feststellen, ob die Software, die Sie verwenden oder bereitstellen möchten, alle richtigen Kästchen ankreuzt, was den Schutz vor Risiken in der Lieferkette betrifft. Mit GUAC können Sie überprüfen, ob die Software die erforderlichen Richtlinien erfüllt oder ob alle in der Produktion befindlichen Binärdateien auf ein sicheres Repository zurückgeführt werden können.

Stufe Nr. 3: Reaktiv

Trotz aller Maßnahmen kann es immer noch zu einer Unterbrechung der Lieferkette kommen. In der reaktiven Phase legen Sie fest, was zu tun ist, wenn ein Verstoß entdeckt wird. Mit GUAC können betroffene Organisationen herausfinden, welcher Teil ihres Inventars von der Schwachstelle betroffen ist, wie stark sie betroffen sind und welche Risiken bestehen. Diese Informationen helfen dabei, einen Angriff einzudämmen und ein erneutes Auftreten in der Zukunft zu verhindern.

Was bedeutet GUAC für Sie?

Was bedeutet GUAC für Sie als Organisation oder Cybersicherheitsexperte? Da sich das Projekt noch in der Entwicklungsphase befindet, gibt es verschiedene Möglichkeiten, sich entweder auf individueller Ebene oder als Organisation zu engagieren.

  • Zunächst einmal ist es ein Aufruf, sich zu engagieren. Statistiken aus einer Umfrage unter etwa 1,000 CIOs zeigen, dass bis zu 82 % der Befragten glauben, dass ihr Unternehmen anfällig für Cyberangriffe ist. Das bedeutet: Wenn Sie keine Maßnahmen zur Sicherung Ihrer Software-Infrastruktur ergreifen, sollten Sie dies jetzt mehr denn je tun. Dieser Schritt von Google ist ein weiterer Weckruf für die Notwendigkeit, weitere Maßnahmen zu ergreifen Sicherheit der Software-Lieferkette ernsthafter.
  • Zweitens ist dies ein Aufruf, einen Beitrag zu leisten. GUAC ist derzeit ein Open-Source-Projekt auf Github. Jetzt handelt es sich lediglich um einen Proof of Concept, der SLSA-, SBOM- und Scorecard-Dokumente zusammenfasst, um die einfache Suche nach Software-Metadaten zu unterstützen. Das Projekt begrüßt Mitwirkende, die Metadaten zu GUAC hinzufügen, sowie Berater, die die Bedürfnisse der Endbenutzer repräsentieren.
  • GUAC ist eine großartige neue Paarung für SLSA-Framework. Das Sicherheits-Framework – eine Zusammenarbeit zwischen verschiedenen Cybersicherheitsakteuren – ist eine Reihe vereinbarter Industriestandards, die Unternehmen und einzelne Entwickler übernehmen können, um fundierte Sicherheitsentscheidungen bei der Entwicklung von Software zu treffen. Zusammen werden diese beiden Richtliniendokumente dazu beitragen, bessere Ergebnisse in Bezug auf die Softwaresicherheit zu erzielen.
  • Auch GUAC bescheinigt der wachsenden Bedeutung Software-Stückliste (SBOM). Diese formelle Liste aller in der Software verwendeten Artefakte verringert das Risiko von Sicherheitslücken für Benutzer und hilft ihnen außerdem zu wissen, wie sie handeln und wo sie nach Schwachstellen suchen müssen, wenn Sicherheitsverletzungen auftreten.
  • Schließlich sollten Sie wissen, dass die einzige Möglichkeit, die Integrität aller Drittanbieterkomponenten Ihrer Software zu gewährleisten, darin besteht, sicherzustellen, dass jeder Code, den Sie nicht selbst geschrieben haben, vollständig berücksichtigt, unverfälscht und frei von jeglichem Schadcode ist. Glücklicherweise gibt es Sicherheitstools und Frameworks für die Software-Lieferkette, mit denen Sie jede Komponente über Ihren gesamten Software Development Lifecycle (SDLC) hinweg überwachen können. Hier ist ein Artikel, der ein guter Ausgangspunkt sein kann, um Ihnen bei der Suche zu helfen Das richtige Software-Tool für die Sicherheit der Lieferkette für Ihre eigenen Bedürfnisse.

Banner

Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.

Zusammenhängende Artikel

Ein Bild, das genehmigten Code veranschaulicht
Verwendung des 3CX-Desktop-App-Angriffs zur Veranschaulichung der Bedeutung des Signierens und Verifizierens von Software

Ende März 2023 deckten Sicherheitsforscher den komplexen Software-Lieferkettenangriff eines Bedrohungsakteurs auf Geschäftskommunikationssoftware von 3CX auf, hauptsächlich auf die Desktop-App des Unternehmens für Sprach- und Videoanrufe. Die Forscher warnten, dass die App irgendwie mit einem Trojaner infiziert sei und dass ihre Verwendung die Organisation einem möglichen Exfiltrationsplan eines Bedrohungsakteurs aussetzen könnte. […]

Feature-Bild
Wie vermeidet man CVE-Burnout und Alarmmüdigkeit bei Schwachstellenscans?

CVE-Scans (Common Vulnerabilities and Exposures) sind für die Sicherung Ihrer Softwareanwendungen unerlässlich. Angesichts der zunehmenden Komplexität von Software-Stacks kann es jedoch eine Herausforderung sein, alle CVEs zu identifizieren und anzugehen. Eines der größten Probleme bei CVE-Scans ist heutzutage die Verbreitung falsch positiver Ergebnisse, bei denen eine Schwachstelle in einem Paket identifiziert wird, das nicht […]

Feature-Bild
Eine geheime Begegnung in der Software-Lieferkette

Eines der Risiken der Software-Lieferkette ist die Offenlegung von Geheimnissen. Überall in der Software-Lieferkette lauern Geheimnisse. Entwickler und die CI\CD-Pipelines müssen Geheimnisse verwenden, um auf den SCM, die Pipeline, die Artefaktregister, die Cloud-Umgebungen und externe Dienste zuzugreifen. Und wenn es überall Geheimnisse gibt, ist es eine Frage der Zeit […]

Beliebte Beiträge
SBOM-Tools zur Rettung – das XZ Utils Backdoor CasePraktische Schritte zum Schutz Ihrer MLOps-PipelineVom Chaos zur Klarheit: Navigieren in der Policy Engine für ComplianceWas ist ASPM?®
Kategorien