直面するリスク ソフトウェアサプライチェーン サイバーセキュリティ エコシステムにおける会話の最前線に位置しています。これは部分的には、これらの頻度の増加によるものです。 サプライチェーン攻撃だけでなく、それが実際に起こったときに広範囲に影響を与える可能性があるためでもあります。
2021 年の数字はソフトウェア サプライ チェーン攻撃を示しています 周波数が3倍になった 前年比でこの傾向は今後も鈍化する可能性は低いと考えられます。幸いなことに、ソフトウェア サプライ チェーン攻撃のリスクに対する意識が高まっていることにより、有益と考えられる幅広い行動が促されています。そのような最近の取り組みの 1 つは、 サイバーセキュリティに関する大統領令 米国政府による。
さらに心強いのは、ソフトウェアのサプライチェーンを狙う悪意のある攻撃者の増大する脅威との戦いに役立つ対策を共同で導入することに、多くの大手企業が関心を高めていることだ。 2022 年 XNUMX 月に、 Googleが発表した これは、Graph for Understanding Artifact Composition (略して GUAC) として知られる新しいオープンソース プロジェクトです。この取り組みはまだ初期段階にありますが、ソフトウェア サプライ チェーンに対する業界の現在の理解を変える可能性を秘めており、これらの脅威をさらに緩和するための高度な対策を導入する可能性があるため、非常に興味深いと考えています。
なぜGUACなのか?なぜ今なのか?
組織としての Google の中心的な使命は、世界中の情報を整理し、世界中の人々がアクセスして使えるようにすることです。 Graph for Understanding Artifact Composition (GUAC) は、サイバーセキュリティの世界に関する限り、その使命に沿ったものです。 GUAC の目標は、情報を自分で入手するための IT 予算や企業規模のセキュリティ インフラストラクチャを持たない組織も含め、すべての組織がトップレベルのセキュリティ情報を利用できるようにすることです。
GUAC は、貴重なソフトウェア セキュリティ メタデータを忠実度の高いグラフ データベースに集約する試みです。データベースには、さまざまなソフトウェア エンティティの ID が含まれるだけでなく、それらの間の標準的な関係も詳しく説明されます。
さまざまなグループ間のコミュニティ協力により、次のようなポリシー文書が作成されました。 ソフトウェア部品表 (SBOM)、ソフトウェアの構築方法を詳述する署名済み証明書 (例: SLSA)、および Global Security Database (GSD) などの脆弱性の発見と排除を容易にするデータベース。 GUAC は、これらすべてのデータベースで利用可能な情報を結合および合成し、より包括的な形式に整理するのに役立ちます。このようにして、誰でも、使用する予定のソフトウェア資産に関する高度なセキュリティの質問に対する必要な答えを見つけることができます。
GUAC はソフトウェア サプライ チェーン セキュリティの 3 段階をカバーします
GUAC は、ソフトウェア セキュリティ メタデータのさまざまなソースを 1 つのソースに集約する、無料のオープンソース プラットフォームです。 GUAC はセキュリティ ツールとして、サプライ チェーン攻撃からソフトウェア インフラストラクチャを保護する 3 つの段階で組織に役立ちます。これらの各段階でどのように役立つかは次のとおりです。
ステージ #1: プロアクティブ
プロアクティブな段階では、大規模なソフトウェア侵害がまったく発生しないように対策を講じます。この段階では、最もよく使用するソフトウェア サプライ チェーン エコシステムの重要なコンポーネントを知りたいと思うでしょう。GUAC を使用すると、それらを簡単に特定できるようになります。 GUAC を使用すると、危険な依存関係にさらされている領域を含む、セキュリティ インフラストラクチャ全体の弱点を特定できます。こうすることで、攻撃が発生する前に攻撃を未然に防ぐことができます。
ステージ #2: 運用可能
運用段階は予防段階であり、使用または展開するソフトウェアが、サプライ チェーンのリスクに対する保護に関する限り、すべての適切なチェック ボックスをオンにしているかどうかを判断します。 GUAC を使用すると、ソフトウェアが必要なポリシー スタンドを満たしているかどうか、または本番環境のすべてのバイナリを安全なリポジトリまで追跡できるかどうかを検証できます。
ステージ #3: リアクティブ
あらゆる対策を講じたにもかかわらず、サプライチェーン違反が依然として発生する可能性があります。事後対応段階では、侵害が発見されたときに何をすべきかを決定します。 GUAC を使用すると、影響を受ける組織は、インベントリのどの部分が脆弱性の影響を受けているか、影響の程度、リスクは何かを知ることができます。この情報は、攻撃を軽減し、将来の再発を防ぐのに役立ちます。
あなたにとって GUAC とは何ですか?
では、組織またはサイバーセキュリティ専門家にとって、GUAC はどのような意味を持つのでしょうか?プロジェクトはまだ開発段階にあるため、個人レベルまたは組織として参加できるさまざまな方法があります。
- まずは参加してみませんか。約 1,000 人の CIO を対象とした調査の統計によると、インタビューを受けた対象者の最大 82% が、自分の組織はサイバー攻撃に対して脆弱であると考えています。これは、ソフトウェア インフラストラクチャを保護するための対策を講じていない場合は、今まで以上に対策を講じる必要があることを意味します。 Google のこの動きは、 ソフトウェアサプライチェーンのセキュリティ より真剣に。
- 第二に、これは貢献の呼びかけです。 GUAC は現在、Github 上のオープンソース プロジェクトです。これは、SLSA、SBOM、およびスコアカードのドキュメントを集約して、ソフトウェア メタデータの簡単な検索をサポートする概念実証にすぎません。このプロジェクトでは、GUAC にメタデータを追加する寄稿者や、エンド ユーザーのニーズを代表するアドバイザーを歓迎しています。
- GUAC は、次のような人にとって素晴らしい新しいペアリングです。 SLSA フレームワーク。さまざまなサイバーセキュリティ関係者間のコラボレーションであるセキュリティ フレームワークは、企業や個人の開発者がソフトウェアを構築する際に情報に基づいたセキュリティ上の意思決定を行うために採用できる一連の合意された業界標準です。これら 2 つのポリシー文書を組み合わせると、ソフトウェア セキュリティに関する限り、より良い結果をもたらすことができます。
- GUAC はまた、 ソフトウェア部品表 (SBOM)。ソフトウェアで使用されるすべてのアーティファクトのこの正式なリストは、ユーザーのセキュリティ脆弱性のリスクを軽減し、侵害が発生した場合にどのように行動し、どこで脆弱性を探すべきかをユーザーが知るのにも役立ちます。
- 最後に、ソフトウェアのすべてのサードパーティ コンポーネントの整合性を保証する唯一の方法は、自分で作成したものではないすべてのコードが完全に説明され、改ざんされておらず、悪意のあるコードがすべて含まれていないことを確認することであることを知っておく必要があります。幸いなことに、ソフトウェア開発ライフサイクル (SDLC) 全体にわたってすべてのコンポーネントを監視するのに役立つソフトウェア サプライ チェーン セキュリティ ツールとフレームワークがあります。を見つけるのに役立つ出発点となる記事を次に示します。 適切なソフトウェア サプライ チェーン セキュリティ ツール あなた自身のニーズのために。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。