Риски, с которыми сталкивается цепочки поставок программного обеспечения заняли свое место в авангарде дискуссий в экосистеме кибербезопасности. Частично это связано с увеличением частоты таких случаев. атаки на цепочку поставок, но также из-за потенциально далеко идущих последствий, которые они оказывают, когда они все-таки происходят.
Данные за 2021 год показали атаки на цепочки поставок программного обеспечения утроена по частоте по сравнению с предыдущим годом, и эта тенденция вряд ли замедлится в будущем. К счастью, растущая осведомленность о риске атак на цепочки поставок программного обеспечения побуждает к принятию широкого спектра потенциально полезных действий. Одним из таких недавних действий является издание Указ о кибербезопасности правительством США.
Что еще более обнадеживает, так это растущий интерес многих крупных игроков к коллективному принятию мер, которые могут помочь в борьбе с растущей угрозой со стороны злоумышленников, нацеленных на цепочки поставок программного обеспечения. В октябре 2022 года Google объявил о новый проект с открытым исходным кодом, известный как «График для понимания композиции артефактов» (сокращенно GUAC). Хотя эта инициатива все еще находится на ранней стадии, мы считаем ее весьма интересной, поскольку она потенциально может изменить нынешнее понимание в отрасли цепочек поставок программного обеспечения и представить передовые меры для дальнейшего смягчения этих угроз.
Почему ГУАК? Почему сейчас?
Основная миссия Google как организации — организовать мировую информацию и сделать ее общедоступной и полезной. График для понимания состава артефактов (GUAC) соответствует этой миссии с точки зрения мира кибербезопасности. Цель GUAC — сделать информацию о безопасности верхнего уровня доступной для всех организаций, включая те, у которых нет ИТ-бюджета или инфраструктуры безопасности масштаба предприятия, чтобы получить эту информацию для себя.
GUAC — это попытка объединить ценные метаданные безопасности программного обеспечения в высокоточную графовую базу данных. База данных будет не только включать идентификацию различных объектов программного обеспечения, но также подробно описывать стандартные отношения между ними.
Сотрудничество сообщества между различными группами привело к созданию политических документов, таких как Спецификации программного обеспечения (SBOM), подписанные свидетельства, в которых подробно описывается, как создается программное обеспечение (например, SLSA), а также базы данных, упрощающие обнаружение и устранение уязвимостей, например Глобальная база данных безопасности (GSD). GUAC поможет объединить и синтезировать информацию, имеющуюся во всех этих базах данных, и организовать ее в более полный формат. Таким образом, каждый сможет найти ответы на вопросы безопасности высокого уровня о любых программных активах, которые он собирается использовать.
Источник: Блог Google по безопасности.
GUAC охватывает три этапа безопасности цепочки поставок программного обеспечения.
GUAC — это бесплатная платформа с открытым исходным кодом, которая объединяет различные источники метаданных безопасности программного обеспечения в один источник. В качестве инструмента безопасности GUAC будет полезен организациям на трех этапах защиты своей программной инфраструктуры от атак в цепочке поставок. Вот как это будет полезно на каждом из этих этапов:
Этап №1: Проактивный
На превентивном этапе вы принимаете меры для предотвращения крупномасштабной компрометации программного обеспечения. На этом этапе вам понадобится узнать важнейшие компоненты вашей экосистемы цепочки поставок программного обеспечения, которые вы используете чаще всего, и GUAC облегчит их идентификацию. С помощью GUAC вы можете выявить слабые места в вашей общей инфраструктуре безопасности, включая области, где вы подвержены опасным зависимостям. Таким образом, вы сможете предотвратить атаки до того, как они произойдут.
Этап №2: Эксплуатационный
Эксплуатационный этап — это профилактический этап, на котором вы определяете, проверяет ли программное обеспечение, которое вы хотите использовать или развернуть, все правильные флажки с точки зрения защиты от рисков в цепочке поставок. С помощью GUAC вы можете проверить, соответствует ли программное обеспечение требуемым политикам или можно ли отследить все находящиеся в производстве двоичные файлы в безопасном репозитории.
Этап №3: Реактивный
Несмотря на все меры, нарушение цепочки поставок все же может произойти. На этапе реагирования вы определяете, что делать в случае обнаружения нарушения. С помощью GUAC затронутые организации могут узнать, какая часть их ресурсов пострадала от уязвимости, насколько сильно она затронута и каковы риски. Эта информация поможет смягчить атаку и предотвратить повторение в будущем.
Что для вас означает GUAC?
Так что же означает GUAC для вас как организации или специалиста по кибербезопасности? Поскольку проект все еще находится на стадии разработки, вы можете принять в нем участие как на индивидуальном уровне, так и в составе организации.
- Для начала, это призыв принять участие. Статистические данные опроса около 1,000 ИТ-директоров показывают, что до 82% опрошенных считают, что их организация уязвима для кибератак. Это означает, что если вы не принимаете никаких мер для защиты своей программной инфраструктуры, вам следует делать это сейчас, как никогда. Этот шаг Google является еще одним тревожным сигналом о необходимости предпринять больше действий для безопасность цепочки поставок программного обеспечения более серьезно.
- Во-вторых, это призыв внести свой вклад. GUAC в настоящее время является проектом с открытым исходным кодом на Github. Сейчас это всего лишь доказательство концепции, которая объединяет документы SLSA, SBOM и Scorecard для поддержки простого поиска метаданных программного обеспечения. Проект приветствует участников, добавляющих метаданные в GUAC, а также консультантов, которые представляют потребности конечных пользователей.
- GUAC — отличное новое сочетание для Структура SLSA. Структура безопасности — результат сотрудничества между различными заинтересованными сторонами в области кибербезопасности — представляет собой набор согласованных отраслевых стандартов, которые предприятия и отдельные разработчики могут применять для принятия обоснованных решений по безопасности при создании программного обеспечения. В совокупности эти два политических документа помогут добиться лучших результатов в области безопасности программного обеспечения.
- GUAC также свидетельствует о растущем значении Спецификация программного обеспечения (СБОМ). Этот формальный список всех артефактов, используемых в программном обеспечении, снижает риски уязвимостей безопасности для пользователей, а также помогает им знать, как действовать и где искать уязвимости в случае взлома.
- Наконец, вы должны знать, что единственный способ гарантировать целостность всех сторонних компонентов вашего программного обеспечения — это убедиться, что каждый код, который вы не писали самостоятельно, полностью учтен, нетронут и не содержит вредоносного кода. К счастью, существуют инструменты и платформы безопасности цепочки поставок программного обеспечения, которые могут помочь вам контролировать каждый компонент на протяжении всего жизненного цикла разработки программного обеспечения (SDLC). Вот статья, которая может стать хорошей отправной точкой, которая поможет вам найти правильный инструмент безопасности цепочки поставок программного обеспечения для ваших собственных нужд.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
