用于理解工件成分 (GUAC) 的图表:主要亮点

所有文章

巴拉克·布鲁多

面临的风险 软件供应链 已经占据了网络安全生态系统对话的最前沿。部分原因是这些行为的频率增加 供应链攻击,还因为它们发生时可能产生深远的影响。

2021 年的数据显示软件供应链攻击 频率增加三倍 与去年相比,这一趋势未来不太可能放缓。幸运的是,人们对软件供应链攻击风险的认识不断增强,正在促使人们采取一系列可能有益的行动。最近的一项行动是发布 网络安全行政命令 由美国政府。

更令人放心的是,许多大型企业越来越有兴趣集体采取措施,帮助应对针对软件供应链的恶意行为者日益增长的威胁。 2022 年 XNUMX 月, 谷歌宣布 一个名为 Graph for Understanding Artifact Composition(简称 GUAC)的新开源项目。尽管这一举措仍处于早期阶段,但我们发现它非常有趣,因为它有可能改变行业当前对软件供应链的理解,并引入先进的措施来进一步减轻这些威胁。

为什么选择 GUAC?为什么现在?

作为一个组织,Google 的核心使命是整合全球信息,使人人皆可访问并从中受益。就网络安全领域而言,理解工件构成图 (GUAC) 符合这一使命。 GUAC 的目标是为所有组织提供顶级安全信息,包括那些没有 IT 预算或企业级安全基础设施来自行获取此信息的组织。

GUAC 试图将有价值的软件安全元数据聚合到高保真图形数据库中。该数据库不仅包含不同软件实体的标识,还将详细说明它们之间的标准关系。

不同团体之间的社区合作产生了政策文件,例如 软件物料清单 (SBOM),详细说明软件构建方式的签名证明(例如 萨尔瓦多),以及更容易发现和消除漏洞的数据库,例如全球安全数据库(GSD)。 GUAC 将帮助整合和综合所有这些数据库中的可用信息,并将其组织成更全面的格式。这样,任何人都可以找到有关他们打算使用的任何软件资产的高级安全问题所需的答案。

软件供应链透明度逻辑模型的形象

来源:谷歌安全博客

GUAC涵盖软件供应链安全的三个阶段

GUAC 是一个免费的开源平台,它将不同来源的软件安全元数据聚合为一个来源。作为一种安全工具,GUAC 对于处于保护其软件基础设施免受供应链攻击的三个阶段的组织来说非常有用。以下是它对每个阶段的有用之处:

第一阶段:积极主动

主动阶段是您采取措施以防止大规模软件泄露发生的阶段。在此阶段,您需要了解最常用的软件供应链生态系统的关键组件,GUAC 将使您更容易识别它们。借助 GUAC,您可以识别整个安全基础架构中的薄弱环节,包括暴露于危险依赖项的区域。这样,您就可以更好地预防攻击发生。

第二阶段:运营

运营阶段是预防阶段,您可以确定要使用或部署的软件是否勾选了所有正确的方框,以防范供应链风险。使用 GUAC,您可以验证软件是否符合所需的策略标准,或者生产中的所有二进制文件是否可以追溯到安全存储库。

第三阶段:反应性

尽管采取了所有措施,供应链违规事件仍可能发生。反应阶段是您确定发现违规行为后该怎么做的阶段。通过 GUAC,受影响的组织可以查明其库存的哪一部分受到了漏洞的影响、受影响的严重程度以及风险是什么。此信息将有助于减轻攻击并防止将来再次发生。

GUAC 对您来说意味着什么?

那么,作为组织或网络安全专业人士,GUAC 对您意味着什么?由于该项目仍处于开发阶段,因此您可以通过多种方式以个人或组织的形式参与其中。

  • 首先,这是一个参与的号召。对约 1,000 名 CIO 进行的调查统计显示,高达 82% 的受访者认为他们的组织容易受到网络攻击。这意味着,如果您没有采取任何措施来保护您的软件基础设施,那么您现在应该比以往任何时候都更应该这样做。谷歌的这一举动再次敲响了警钟,提醒人们需要采取更多行动 软件供应链安全 更认真的
  • 其次,这是一个贡献的呼吁。 GUAC 目前是 Github 上的一个开源项目。现在只是一个概念验证,聚合了 SLSA、SBOM 和记分卡文档,以支持对软件元数据的简单搜索。该项目欢迎贡献者向 GUAC 以及代表最终用户需求的顾问添加元数据。
  • GUAC 是一个很棒的新配对 SLSA框架。安全框架是各个网络安全利益相关者之间的协作,是一组商定的行业标准,企业和个人开发人员可以采用这些标准在构建软件时做出明智的安全决策。这两份政策文件相结合将有助于在软件安全方面取得更好的成果。
  • GUAC 还证明了日益增长的重要性 软件物料清单 (SBOM)。软件中使用的所有工件的正式列表可以降低用户的安全漏洞风险,还可以帮助他们了解在发生漏洞时如何采取行动以及在哪里寻找漏洞。
  • 最后,您应该知道,保证软件所有第三方组件完整性的唯一方法是确保所有不是您自己编写的代码都得到充分考虑、未被篡改并且不含所有恶意代码。幸运的是,有一些软件供应链安全工具和框架可以帮助您监控整个软件开发生命周期 (SDLC) 中的每个组件。这是一篇文章,可以作为一个很好的起点,帮助您找到 正确的软件供应链安全工具 为了您自己的需要。

旗帜

此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多

相关文章

特色图片
CISA 的安全软件自我认证通用表格:责任的转折点

2022 年 XNUMX 月,美国管理和预算办公室 (OMB) 发布了一份具有里程碑意义的备忘录,涉及确保软件供应链达到美国联邦政府可接受的程度所需的步骤。任何希望与政府和任何生产软件的联邦机构开展业务的公司都需要遵守 [...]

图像说明比较
SPDX 与 CycloneDX:SBOM 格式比较

尽管越来越多地采用软件物料清单 (SBOM) 作为漏洞管理和网络安全工具,但许多组织仍然难以理解当今使用的两种最流行的 SBOM 格式:SPDX 和 CycloneDX。在本文中,我们将比较这两种格式,以帮助您选择正确的格式 [...]

图像清晰度
从混乱到清晰:引导政策引擎实现合规性

欢迎回到我们博客系列的第二部分,我们将深入探讨 Valint 的强大功能。在本文中,我们将重点关注 Valint 的策略引擎及其在确保整个供应链合规性方面的关键作用。在我们之前的博文中,我们概述了 Valint 的设计原则。政策引擎如何[...]

热门帖子
了解并满足新的联邦软件安全行政命令 14144:实用指南如何在整个 SDLC 中集成 SBOM防御近期的软件供应链攻击:经验教训和策略如果没有地图你会去打仗吗?
分类