Grafico per comprendere la composizione degli artefatti (GUAC): punti salienti

Tutti i messaggi

I rischi a cui va incontro catene di fornitura del software hanno preso il loro posto in prima linea nelle conversazioni nell’ecosistema della sicurezza informatica. Ciò è in parte dovuto alla loro maggiore frequenza attacchi alla catena di approvvigionamento, ma anche a causa degli impatti potenzialmente di vasta portata che hanno quando si verificano.

I dati del 2021 hanno mostrato attacchi alla catena di fornitura del software triplicato in frequenza rispetto all’anno precedente, tendenza che difficilmente potrà rallentare in futuro. Fortunatamente, la crescente consapevolezza del rischio di attacchi alla catena di fornitura del software sta stimolando un’ampia gamma di azioni potenzialmente benefiche. Una di queste azioni recenti è l'emissione di un Ordine esecutivo sulla sicurezza informatica dal governo degli Stati Uniti.

Ciò che è ancora più rassicurante è il crescente interesse di molti dei grandi attori nell’introduzione collettiva di misure che possano aiutare nella lotta contro la crescente minaccia di attori malintenzionati che prendono di mira le catene di fornitura del software. Nell'ottobre 2022, Google ha annunciato un nuovo progetto open source noto come Graph for Understanding Artifact Composition (GUAC, in breve). Sebbene questa iniziativa sia ancora nelle sue fasi iniziali, la troviamo piuttosto interessante perché ha il potenziale per cambiare l'attuale comprensione del settore delle catene di fornitura del software e introduce misure avanzate per mitigare ulteriormente queste minacce.

Perchè GUAC? Perché ora?

Come organizzazione, la missione principale di Google è organizzare le informazioni a livello mondiale e renderle universalmente accessibili e utili. Il Graph for Understanding Artifact Composition (GUAC) è in linea con questa missione per quanto riguarda il mondo della cybersecurity. L'obiettivo del GUAC è rendere disponibili le informazioni sulla sicurezza di massimo livello a tutte le organizzazioni, comprese quelle che non dispongono del budget IT o dell'infrastruttura di sicurezza su scala aziendale per ottenere queste informazioni da sole.

GUAC è un tentativo di aggregare preziosi metadati di sicurezza del software in un database grafico ad alta fedeltà. Il database non includerà solo l'identità delle diverse entità software, ma dettaglierà anche la relazione standard tra loro.

La collaborazione comunitaria tra vari gruppi ha portato a documentazioni politiche come quella Distinte materiali del software (SBOM), attestati firmati che descrivono in dettaglio come viene creato il software (ad esempio SLSA) e database che semplificano la scoperta e l'eliminazione delle vulnerabilità, come il Global Security Database (GSD). Il GUAC aiuterà a combinare e sintetizzare le informazioni disponibili su tutti questi database e ad organizzarle in un formato più completo. In questo modo, chiunque può trovare le risposte di cui ha bisogno a domande di sicurezza di alto livello su qualsiasi risorsa software che intende utilizzare.

Un'immagine del modello logico di trasparenza della catena di fornitura del software

Fonte: blog sulla sicurezza di Google

GUAC copre tre fasi della sicurezza della catena di fornitura del software

GUAC è una piattaforma open source gratuita che aggregherà le diverse fonti di metadati di sicurezza del software in un'unica fonte. Come strumento di sicurezza, GUAC sarà utile alle organizzazioni nelle tre fasi di protezione della propria infrastruttura software dagli attacchi alla catena di fornitura. Ecco come sarà utile per ciascuna di queste fasi:

Fase n. 1: proattivo

La fase proattiva è quella in cui si mettono in atto misure per evitare che si verifichino compromissioni software su larga scala. In questa fase, vorrai conoscere i componenti critici dell'ecosistema della catena di fornitura del software che utilizzi di più e GUAC renderà più semplice identificarli. Con GUAC puoi identificare i punti deboli della tua infrastruttura di sicurezza complessiva, comprese le aree in cui sei esposto a dipendenze rischiose. In questo modo sei in una posizione migliore per prevenire gli attacchi prima che si verifichino.

Fase n. 2: operativa

La fase operativa è la fase preventiva in cui si determina se il software che si desidera utilizzare o distribuire seleziona tutte le caselle giuste per quanto riguarda la salvaguardia contro i rischi della catena di approvvigionamento. Con GUAC puoi verificare se il software soddisfa le policy richieste o se tutti i binari in produzione possono essere ricondotti a un repository sicuro.

Fase n. 3: reattivo

Nonostante tutte le misure, potrebbe comunque verificarsi una violazione della catena di approvvigionamento. La fase reattiva è quella in cui si determina cosa fare quando viene scoperta una violazione. Con GUAC, le organizzazioni interessate possono scoprire quale parte del loro inventario è stata interessata dalla vulnerabilità, quanto gravemente sono interessate e quali sono i rischi. Queste informazioni aiuteranno a mitigare un attacco e a prevenire che si ripeta in futuro.

Cosa significa per te GUAC?

Allora cosa significa GUAC per te come organizzazione o professionista della sicurezza informatica? Poiché il progetto è ancora in fase di sviluppo, ci sono vari modi in cui puoi essere coinvolto a livello individuale o come organizzazione.

  • Per cominciare, è un invito a mettersi in gioco. Le statistiche di un sondaggio condotto su circa 1,000 CIO mostrano che fino all’82% degli intervistati ritiene che la propria organizzazione sia vulnerabile agli attacchi informatici. Ciò significa che se non stai adottando misure per proteggere la tua infrastruttura software, dovresti farlo ora più che mai. Questa mossa di Google è un altro campanello d'allarme sulla necessità di intraprendere maggiori azioni verso l'assunzione sicurezza della catena di fornitura del software più seriamente.
  • In secondo luogo, questo è un invito a contribuire. GUAC è attualmente un progetto open source su Github. Ora si tratta solo di una prova di concetto che aggrega documenti SLSA, SBOM e Scorecard per supportare la semplice ricerca di metadati software. Il progetto accoglie contributori per aggiungere metadati a GUAC nonché consulenti che rappresentano le esigenze degli utenti finali.
  • GUAC è un nuovo fantastico abbinamento per il Struttura SLSA. Il framework di sicurezza, una collaborazione tra vari soggetti interessati alla sicurezza informatica, è un insieme di standard di settore concordati che le aziende e i singoli sviluppatori possono adottare per prendere decisioni informate sulla sicurezza durante la creazione di software. Insieme, questi due documenti politici contribuiranno a ottenere risultati migliori per quanto riguarda la sicurezza del software.
  • Il GUAC attesta anche la crescente importanza del Distinta dei materiali del software (SBOM). Questo elenco formale di tutti gli artefatti utilizzati nel software riduce i rischi di vulnerabilità della sicurezza per gli utenti e li aiuta anche a sapere come agire e dove cercare le vulnerabilità quando si verificano violazioni.
  • Infine, dovresti sapere che l'unico modo per garantire l'integrità di tutti i componenti di terze parti del tuo software è assicurarti che ogni codice che non hai scritto tu sia completamente contabilizzato, non manomesso e privo di codice dannoso. Fortunatamente, esistono strumenti e framework per la sicurezza della catena di fornitura del software che possono aiutarti a monitorare ogni componente nell'intero ciclo di vita dello sviluppo del software (SDLC). Ecco un articolo che può essere un buon punto di partenza per aiutarti a trovare il il giusto strumento per la sicurezza della catena di fornitura del software per le proprie esigenze.

Banner

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.