Gráfico para entender a composição do artefato (GUAC): principais destaques

Todas as mensagens

Os riscos enfrentados por cadeias de suprimentos de software ocuparam o seu lugar na vanguarda das conversas no ecossistema de segurança cibernética. Isto se deve em parte ao aumento da frequência desses ataques à cadeia de abastecimento, mas também devido aos impactos potencialmente de longo alcance que têm quando acontecem.

Números de 2021 mostraram ataques à cadeia de suprimentos de software triplicou de frequência em relação ao ano anterior, uma tendência que não deverá abrandar no futuro. Felizmente, a crescente consciência do risco de ataques à cadeia de fornecimento de software está a levar a uma vasta gama de ações potencialmente benéficas. Uma dessas ações recentes é a emissão de um Ordem Executiva sobre Segurança Cibernética pelo governo dos Estados Unidos.

O que é ainda mais tranquilizador é o interesse crescente de muitos dos grandes intervenientes na introdução colectiva de medidas que possam ajudar na luta contra a ameaça crescente de actores maliciosos que visam as cadeias de fornecimento de software. Em outubro de 2022, O Google anunciou um novo projeto de código aberto conhecido como Graph for Understanding Artifact Composition (GUAC, para abreviar). Embora esta iniciativa ainda esteja na sua fase inicial, consideramos-a bastante interessante porque tem o potencial de mudar a compreensão atual da indústria sobre as cadeias de fornecimento de software e introduz medidas avançadas para mitigar ainda mais estas ameaças.

Por que GUAC? Porque agora?

Como organização, a principal missão do Google é organizar as informações do mundo e torná-las universalmente acessíveis e úteis. O Graph for Understanding Artifact Composition (GUAC) está alinhado com essa missão no que diz respeito ao mundo da segurança cibernética. O objetivo do GUAC é disponibilizar informações de segurança de alto nível para todas as organizações, incluindo aquelas que não possuem orçamento de TI ou infraestrutura de segurança em escala empresarial para obter essas informações por si mesmas.

GUAC é uma tentativa de agregar metadados valiosos de segurança de software em um banco de dados gráfico de alta fidelidade. O banco de dados não incluirá apenas a identidade de diferentes entidades de software, mas também detalhará o relacionamento padrão entre elas.

A colaboração comunitária entre vários grupos levou a documentações políticas como o Listas de materiais de software (SBOMs), atestados assinados que detalham como o software é construído (como SLSA) e bancos de dados que facilitam a descoberta e eliminação de vulnerabilidades, como o Global Security Database (GSD). O GUAC ajudará a combinar e sintetizar a informação disponível em todas estas bases de dados e a organizá-las num formato mais abrangente. Dessa forma, qualquer pessoa pode encontrar as respostas necessárias para perguntas de segurança de alto nível sobre quaisquer ativos de software que pretenda usar.

Uma imagem do modelo lógico de transparência da cadeia de suprimentos de software

Fonte: Blog de segurança do Google

O GUAC cobre três estágios de segurança da cadeia de suprimentos de software

GUAC é uma plataforma gratuita de código aberto que agregará as diferentes fontes de metadados de segurança de software em uma única fonte. Como ferramenta de segurança, o GUAC será útil para as organizações nas três fases de proteção da sua infraestrutura de software contra ataques à cadeia de abastecimento. Veja como será útil para cada uma dessas etapas:

Estágio nº 1: Proativo

O estágio proativo é onde você implementa medidas para evitar que ocorram comprometimentos de software em grande escala. Neste estágio, você desejará conhecer os componentes críticos do ecossistema da cadeia de suprimentos de software que você mais usa, e o GUAC tornará mais fácil identificá-los. Com o GUAC, você pode identificar pontos fracos em sua infraestrutura geral de segurança, incluindo áreas onde você está exposto a dependências arriscadas. Dessa forma, você estará em melhor posição para prevenir ataques antes que eles aconteçam.

Etapa 2: Operacional

A fase operacional é a fase preventiva onde você determina se o software que deseja usar ou implantar marca todas as caixas certas no que diz respeito às salvaguardas contra os riscos da cadeia de abastecimento. Com o GUAC você pode verificar se o software atende às políticas exigidas ou se todos os binários em produção podem ser rastreados até um repositório seguro.

Estágio #3: Reativo

Apesar de todas as medidas, ainda pode ocorrer uma violação da cadeia de abastecimento. O estágio reativo é onde você determina o que fazer quando uma violação for descoberta. Com o GUAC, as organizações afetadas podem descobrir que parte do seu inventário foi afetada pela vulnerabilidade, até que ponto foram afetados e quais são os riscos. Essas informações ajudarão a mitigar um ataque e evitar uma recorrência no futuro.

O que o GUAC significa para você?

Então, o que o GUAC significa para você como organização ou profissional de segurança cibernética? Como o projeto ainda está em fase de desenvolvimento, existem várias maneiras de se envolver, seja a nível individual ou como organização.

  • Para começar, é um chamado para se envolver. As estatísticas de um inquérito a cerca de 1,000 CIOs mostram que até 82% dos entrevistados acreditam que a sua organização é vulnerável a ataques cibernéticos. Isso significa que, se você não estiver implementando nenhuma medida para proteger sua infraestrutura de software, deverá fazê-lo agora mais do que nunca. Esta medida do Google é mais um alerta sobre a necessidade de tomar mais medidas para tomar segurança da cadeia de suprimentos de software mais a sério.
  • Em segundo lugar, este é um apelo à contribuição. GUAC é atualmente um projeto de código aberto no Github. Tudo o que existe agora é uma prova de conceito que agrega documentos SLSA, SBOM e Scorecard para apoiar a pesquisa simples de metadados de software. O projeto acolhe colaboradores para adicionar metadados ao GUAC, bem como consultores que representam as necessidades dos usuários finais.
  • GUAC é uma ótima nova dupla para o estrutura SLSA. A estrutura de segurança – uma colaboração entre várias partes interessadas em segurança cibernética – é um conjunto de padrões industriais acordados que empresas e desenvolvedores individuais podem adotar para tomar decisões de segurança informadas ao criar software. Combinados, estes dois documentos políticos ajudarão a gerar melhores resultados no que diz respeito à segurança de software.
  • O GUAC também atesta a crescente importância do Lista de Materiais de Software (SBOM). Essa lista formal de todos os artefatos usados ​​no software diminui os riscos de vulnerabilidades de segurança para os usuários e também os ajuda a saber como agir e onde procurar vulnerabilidades quando ocorrem violações.
  • Por fim, você deve saber que a única maneira de garantir a integridade de todos os componentes de terceiros do seu software é garantir que cada código que você não escreveu seja totalmente contabilizado, não adulterado e livre de qualquer código malicioso. Felizmente, existem ferramentas e estruturas de segurança da cadeia de suprimentos de software que podem ajudá-lo a monitorar cada componente em todo o seu ciclo de vida de desenvolvimento de software (SDLC). Aqui está um artigo que pode ser um bom ponto de partida para ajudá-lo a encontrar o ferramenta certa de segurança da cadeia de suprimentos de software para suas próprias necessidades.

Bandeira

Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.