아티팩트 구성 이해를 위한 그래프(GUAC): 주요 하이라이트

모든 게시물

직면한 위험 소프트웨어 공급망 사이버 보안 생태계에서 대화의 최전선에서 자리를 잡았습니다. 이는 부분적으로 이러한 빈도가 증가했기 때문입니다. 공급망 공격지만, 실제로 발생하면 잠재적으로 광범위한 영향을 미치기 때문입니다.

2021년 수치는 소프트웨어 공급망 공격을 보여줍니다. 빈도가 3배로 증가 전년도에 비해 이러한 추세는 앞으로도 둔화될 것 같지 않습니다. 다행스럽게도 소프트웨어 공급망 공격의 위험에 대한 인식이 높아지면서 잠재적으로 이익이 되는 다양한 조치가 취해지고 있습니다. 그러한 최근 조치 중 하나는 사이버 보안에 관한 행정 명령 미국 정부에 의해.

더욱 안심이 되는 점은 소프트웨어 공급망을 표적으로 삼는 악의적 행위자의 증가하는 위협에 맞서 싸우는 데 도움이 될 수 있는 조치를 공동으로 도입하는 데 많은 대기업의 관심이 커지고 있다는 것입니다. 2022년 XNUMX월, Google은 발표 GUAC(줄여서 Artifact Composition 이해 그래프)로 알려진 새로운 오픈 소스 프로젝트입니다. 이 이니셔티브는 아직 초기 단계에 있지만 소프트웨어 공급망에 대한 업계의 현재 이해를 바꿀 수 있는 잠재력을 갖고 있으며 이러한 위협을 더욱 완화하기 위한 고급 조치를 도입할 수 있다는 점에서 매우 흥미롭습니다.

왜 GUAC인가? 왜 지금?

조직으로서 Google의 핵심 임무는 전 세계의 정보를 정리하여 모두가 접근하고 유용하게 만드는 것입니다. GUAC(아티팩트 구성 이해 그래프)는 사이버 보안 세계에 관한 한 이러한 임무와 일치합니다. GUAC의 목표는 IT 예산이나 기업 규모의 보안 인프라가 없어 스스로 정보를 얻을 수 없는 조직을 포함하여 모든 조직이 최상위 보안 정보를 사용할 수 있도록 하는 것입니다.

GUAC는 귀중한 소프트웨어 보안 메타데이터를 충실도가 높은 그래프 데이터베이스로 집계하려는 시도입니다. 데이터베이스에는 다양한 소프트웨어 엔터티의 ID가 포함될 뿐만 아니라 이들 간의 표준 관계도 자세히 설명됩니다.

다양한 그룹 간의 커뮤니티 협력으로 다음과 같은 정책 문서가 작성되었습니다. 소프트웨어 BOM (SBOM), 소프트웨어 구축 방법을 자세히 설명하는 서명된 증명(예: SLSA), GSD(Global Security Database)와 같이 취약점을 더 쉽게 발견하고 제거할 수 있는 데이터베이스가 있습니다. GUAC는 이러한 모든 데이터베이스에서 사용할 수 있는 정보를 결합 및 종합하고 이를 보다 포괄적인 형식으로 구성하는 데 도움을 줄 것입니다. 이렇게 하면 누구나 사용하려는 소프트웨어 자산에 대한 높은 수준의 보안 질문에 필요한 답을 찾을 수 있습니다.

소프트웨어 공급망 투명성 논리 모델 이미지

출처: Google 보안 블로그

GUAC는 소프트웨어 공급망 보안의 3단계를 다룹니다.

GUAC는 소프트웨어 보안 메타데이터의 다양한 소스를 단일 소스로 집계하는 무료 오픈 소스 플랫폼입니다. 보안 도구로서 GUAC는 공급망 공격으로부터 소프트웨어 인프라를 보호하는 3단계에서 조직에 유용합니다. 각 단계에서 유용한 방법은 다음과 같습니다.

1단계: 적극적

사전 대응 단계에서는 대규모 소프트웨어 손상이 전혀 발생하지 않도록 방지하기 위한 조치를 취하는 단계입니다. 이 단계에서는 가장 많이 사용하는 소프트웨어 공급망 생태계의 중요한 구성 요소를 알고 싶을 것이며 GUAC를 통해 이를 더 쉽게 식별할 수 있습니다. GUAC를 사용하면 위험한 종속성에 노출되는 영역을 포함하여 전체 보안 인프라의 약점을 식별할 수 있습니다. 이렇게 하면 공격이 발생하기 전에 미리 예방할 수 있는 더 나은 위치에 있게 됩니다.

2단계: 운영

운영 단계는 사용하거나 배포하려는 소프트웨어가 공급망 위험에 대한 보호 장치와 관련된 모든 올바른 상자를 확인하는지 결정하는 예방 단계입니다. GUAC를 사용하면 소프트웨어가 필수 정책 기준을 충족하는지 또는 프로덕션의 모든 바이너리를 안전한 저장소로 추적할 수 있는지 확인할 수 있습니다.

3단계: 반응적

모든 조치에도 불구하고 공급망 침해는 여전히 발생할 수 있습니다. 대응 단계에서는 침해가 발견되었을 때 수행할 작업을 결정합니다. GUAC를 사용하면 영향을 받는 조직은 인벤토리의 어느 부분이 취약점의 영향을 받았는지, 얼마나 심하게 영향을 받았는지, 위험이 무엇인지 확인할 수 있습니다. 이 정보는 공격을 완화하고 향후 재발을 방지하는 데 도움이 됩니다.

GUAC는 당신에게 어떤 의미인가요?

그렇다면 GUAC는 조직 또는 사이버 보안 전문가로서 귀하에게 무엇을 의미합니까? 프로젝트가 아직 개발 단계에 있으므로 개인 수준이나 조직 차원에서 참여할 수 있는 다양한 방법이 있습니다.

  • 우선, 참여하라는 요청입니다. 약 1,000명의 CIO를 대상으로 한 설문조사 통계에 따르면 인터뷰 대상자 중 최대 82%가 자신의 조직이 사이버 공격에 취약하다고 생각하는 것으로 나타났습니다. 이는 소프트웨어 인프라를 보호하기 위한 조치를 취하지 않는다면 그 어느 때보다 지금 조치를 취해야 함을 의미합니다. Google의 이러한 움직임은 조치를 취하기 위해 더 많은 조치를 취해야 한다는 또 다른 경종입니다. 소프트웨어 공급망 보안 더 진지하게.
  • 둘째, 기여하라는 요청입니다. GUAC는 현재 Github의 오픈 소스 프로젝트입니다. 이제 소프트웨어 메타데이터에 대한 간단한 검색을 지원하기 위해 SLSA, SBOM 및 Scorecard 문서를 집계하는 개념 증명만 남았습니다. 이 프로젝트는 GUAC에 메타데이터를 추가하는 기여자와 최종 사용자의 요구 사항을 나타내는 조언자를 환영합니다.
  • GUAC는 다음을 위한 훌륭한 새 페어링입니다. SLSA 프레임워크. 다양한 사이버 보안 이해관계자 간의 협력인 보안 프레임워크는 기업과 개인 개발자가 소프트웨어를 구축할 때 정보에 입각한 보안 결정을 내리기 위해 채택할 수 있는 합의된 업계 표준 세트입니다. 이 두 가지 정책 문서를 결합하면 소프트웨어 보안에 관한 한 더 나은 결과를 도출하는 데 도움이 될 것입니다.
  • GUAC는 또한 다음과 같은 중요성이 커지고 있음을 입증합니다. 소프트웨어 BOM (SBOM). 소프트웨어에 사용되는 모든 아티팩트의 공식 목록은 사용자의 보안 취약성 위험을 줄이고 침해가 발생할 때 조치를 취하는 방법과 취약성을 찾을 수 있는 위치를 아는 데도 도움이 됩니다.
  • 마지막으로, 소프트웨어의 모든 타사 구성 요소의 무결성을 보장하는 유일한 방법은 직접 작성하지 않은 모든 코드가 완전히 설명되고, 변조되지 않았으며, 모든 악성 코드가 없는지 확인하는 것입니다. 다행히 전체 소프트웨어 개발 수명주기(SDLC)에서 모든 구성 요소를 모니터링하는 데 도움이 되는 소프트웨어 공급망 보안 도구와 프레임워크가 있습니다. 다음은 귀하가 문제를 찾는 데 도움이 되는 좋은 출발점이 될 수 있는 기사입니다. 올바른 소프트웨어 공급망 보안 도구 자신의 필요를 위해.

기치

이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.