Graphique pour comprendre la composition des artefacts (GUAC) : points saillants

Les risques auxquels sont confrontés chaînes d'approvisionnement de logiciels ont pris leur place au premier plan des conversations dans l’écosystème de la cybersécurité. Cela est dû en partie à la fréquence accrue de ces attaques de la chaîne d'approvisionnement, mais aussi en raison des conséquences potentiellement considérables qu’elles peuvent avoir lorsqu’elles se produisent.

Les chiffres de 2021 montrent des attaques contre la chaîne d’approvisionnement logicielle triplé en fréquence par rapport à l’année précédente, une tendance qui ne devrait pas ralentir à l’avenir. Heureusement, la prise de conscience croissante du risque d’attaques sur la chaîne d’approvisionnement logicielle suscite un large éventail d’actions potentiellement bénéfiques. L'une de ces actions récentes est la délivrance d'un Décret exécutif sur la cybersécurité par le gouvernement des États-Unis.

Ce qui est encore plus rassurant est l'intérêt croissant de nombreux grands acteurs pour l'introduction collective de mesures susceptibles de contribuer à la lutte contre la menace croissante d'acteurs malveillants ciblant les chaînes d'approvisionnement en logiciels. En octobre 2022, Google a annoncé un nouveau projet open source connu sous le nom de Graph for Understanding Artifact Composition (GUAC, en abrégé). Bien que cette initiative n'en soit qu'à ses débuts, nous la trouvons très intéressante car elle a le potentiel de changer la compréhension actuelle de l'industrie des chaînes d'approvisionnement en logiciels et introduit des mesures avancées pour atténuer davantage ces menaces.

Pourquoi le GUAC ? Pourquoi maintenant?

En tant qu'organisation, la mission principale de Google est d'organiser l'information mondiale et de la rendre universellement accessible et utile. Le Graph for Understanding Artifact Composition (GUAC) s’inscrit dans cette mission en ce qui concerne le monde de la cybersécurité. L'objectif de GUAC est de mettre des informations de sécurité de haut niveau à la disposition de toutes les organisations, y compris celles qui ne disposent pas du budget informatique ou de l'infrastructure de sécurité à l'échelle de l'entreprise pour obtenir ces informations par elles-mêmes.

GUAC est une tentative de regrouper de précieuses métadonnées de sécurité logicielle dans une base de données graphique haute fidélité. La base de données comprendra non seulement l'identité des différentes entités logicielles, mais détaillera également la relation standard entre elles.

La collaboration communautaire entre divers groupes a conduit à des documents politiques comme le Nomenclatures logicielles (SBOM), attestations signées qui détaillent la manière dont le logiciel est construit (telles que SLSA) et des bases de données qui facilitent la découverte et l'élimination des vulnérabilités, comme la Global Security Database (GSD). GUAC aidera à combiner et à synthétiser les informations disponibles sur toutes ces bases de données et à les organiser dans un format plus complet. De cette façon, chacun peut trouver les réponses dont il a besoin aux questions de sécurité de haut niveau concernant les actifs logiciels qu’il a l’intention d’utiliser.

Source : Blog sur la sécurité de Google

GUAC couvre trois étapes de la sécurité de la chaîne d'approvisionnement logicielle

GUAC est une plateforme open source gratuite qui regroupera les différentes sources de métadonnées de sécurité logicielle en une seule source. En tant qu'outil de sécurité, GUAC sera utile aux organisations dans les trois étapes de sécurisation de leur infrastructure logicielle contre les attaques de la chaîne d'approvisionnement. Voici comment cela sera utile pour chacune de ces étapes :

Étape n°1 : Proactif

L’étape proactive est celle où vous mettez en place des mesures pour empêcher toute compromission logicielle à grande échelle de se produire. À ce stade, vous souhaiterez connaître les composants critiques de votre écosystème de chaîne d'approvisionnement logiciel que vous utilisez le plus, et GUAC facilitera leur identification. Avec GUAC, vous pouvez identifier les points faibles de votre infrastructure de sécurité globale, y compris les zones dans lesquelles vous êtes exposé à des dépendances à risque. De cette façon, vous êtes mieux placé pour prévenir les attaques avant qu’elles ne se produisent.

Étape n°2 : opérationnel

L'étape opérationnelle est l'étape préventive où vous déterminez si le logiciel que vous souhaitez utiliser ou déployer remplit toutes les bonnes conditions en ce qui concerne les garanties contre les risques liés à la chaîne d'approvisionnement. Avec GUAC, vous pouvez vérifier si le logiciel répond aux exigences de la politique requise ou si tous les binaires en production peuvent être retracés jusqu'à un référentiel sécurisé.

Étape n°3 : Réactif

Malgré toutes les mesures, une rupture de la chaîne d’approvisionnement peut toujours se produire. L’étape réactive est celle où vous déterminez quoi faire lorsqu’une violation est découverte. Avec GUAC, les organisations concernées peuvent découvrir quelle partie de leur inventaire a été affectée par la vulnérabilité, dans quelle mesure elles sont affectées et quels sont les risques. Ces informations permettront d’atténuer une attaque et d’éviter qu’elle ne se reproduise à l’avenir.

Que signifie GUAC pour vous ?

Alors, que signifie GUAC pour vous en tant qu’organisation ou professionnel de la cybersécurité ? Comme le projet est encore en phase de développement, il existe différentes manières de vous impliquer, soit à un niveau individuel, soit en tant qu'organisation.

• Pour commencer, c'est un appel à s'impliquer. Les statistiques d'une enquête menée auprès d'environ 1,000 82 DSI montrent que jusqu'à XNUMX % des personnes interrogées estiment que leur organisation est vulnérable aux cyberattaques. Cela signifie que si vous ne mettez en place aucune mesure pour sécuriser votre infrastructure logicielle, vous devriez le faire maintenant plus que jamais. Cette décision de Google est un autre signal d'alarme sur la nécessité de prendre davantage de mesures pour prendre sécurité de la chaîne logistique logicielle plus sérieusement.
• Deuxièmement, c’est un appel à contribuer. GUAC est actuellement un projet open source sur Github. Il ne s'agit plus que d'une preuve de concept qui regroupe les documents SLSA, SBOM et Scorecard pour prendre en charge la recherche simple de métadonnées logicielles. Le projet accueille les contributeurs pour ajouter des métadonnées au GUAC ainsi que les conseillers qui représentent les besoins des utilisateurs finaux.
• GUAC est un nouveau partenariat formidable pour le Cadre SLSA. Le cadre de sécurité – une collaboration entre diverses parties prenantes de la cybersécurité – est un ensemble de normes industrielles convenues que les entreprises et les développeurs individuels peuvent adopter pour prendre des décisions de sécurité éclairées lors de la création de logiciels. Combinés, ces deux documents de politique contribueront à obtenir de meilleurs résultats en matière de sécurité logicielle.
• GUAC atteste également de l'importance croissante du Nomenclature du logiciel (SBOM). Cette liste formelle de tous les artefacts utilisés dans les logiciels diminue les risques de failles de sécurité pour les utilisateurs et les aide également à savoir comment agir et où rechercher les vulnérabilités en cas de violations.
• Enfin, sachez que la seule façon de garantir l’intégrité de tous les composants tiers de votre logiciel est de vous assurer que chaque code que vous n’avez pas écrit vous-même est entièrement pris en compte, inaltéré et exempt de tout code malveillant. Heureusement, il existe des outils et des cadres de sécurité de la chaîne d'approvisionnement logicielle qui peuvent vous aider à surveiller chaque composant tout au long de votre cycle de vie de développement logiciel (SDLC). Voici un article qui peut être un bon point de départ pour vous aider à trouver le bon outil logiciel de sécurité de la chaîne d’approvisionnement pour vos propres besoins.

articles similaires

Utilisation de l’attaque de l’application de bureau 3CX pour illustrer l’importance du logiciel de signature et de vérification

Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]

Comment éviter l’épuisement des CVE et la fatigue des alertes lors des analyses de vulnérabilité ?

Les analyses CVE (Common Vulnerabilities and Exposures) sont essentielles à la sécurisation de vos applications logicielles. Cependant, avec la complexité croissante des piles logicielles, identifier et traiter tous les CVE peut s'avérer difficile. L'un des plus gros problèmes des analyses CVE aujourd'hui est la prévalence des faux positifs, où une vulnérabilité est identifiée dans un package qui n'est pas [...]

Une rencontre secrète dans la chaîne d'approvisionnement logicielle

L'un des risques de la chaîne d'approvisionnement en logiciels est la fuite de secrets. Les secrets sont omniprésents dans la chaîne d'approvisionnement des logiciels ; les développeurs et les pipelines CI\CD doivent utiliser des secrets pour accéder au SCM, au pipeline, aux registres d'artefacts, aux environnements cloud et aux services externes. Et quand les secrets sont partout, ce n’est qu’une question de temps […]