Hirdetés
. Hirdetés

A Google nyílt forráskódú projektje az ellátási lánc biztonságát hivatott növelni

|

A szoftverellátási lánc biztonsága jelenleg sokak napirendjének élén áll, különösen a Log4j Java-alapú naplózási segédeszköz sebezhetőségének felfedezése és a kiberbiztonságról szóló amerikai végrehajtási rendelet óta.

Hirdetés

A Google közreműködőket keres a GUAC (Graph for Understanding Artifact Composition) nevű új nyílt forráskódú projekthez, amely bár még korai stádiumban van, de megváltoztathatja a szoftverellátási láncok értelmezését az iparágban. A GUAC célja, hogy demokratizálja a szoftverek felépítésével, biztonságával és függőségével kapcsolatos metaadatokra vonatkozó információk elérhetőségét, szabadon hozzáférhetővé és hasznossá téve azokat minden szervezet számára, nem csak a vállalati szintű biztonsággal és IT-finanszírozással működő szervezetek számára.

Bár a szervezetek jelenleg hozzáférnek a szoftverek anyagjegyzékéhez, a sebezhetőségi adatbázisokhoz és más információforrásokhoz, ezeket nehéz kombinálni és szintetizálni annak érdekében, hogy átfogóbb képet kapjanak.

Hirdetés

A Google a Kusari, a Purdue University és a Citi vállalatokkal összefogva létrehozta a GUAC-ot, egy ingyenes eszközt, amely a szoftverbiztonsági metaadatok számos különböző forrását egyesíti. A GUAC-nak négy fő funkciója van:

• Gyűjtés: A GUAC úgy konfigurálható, hogy a szoftverbiztonsági metaadatok különböző forrásaihoz kapcsolódjon. Néhány forrás lehet nyílt és nyilvános (pl. OSV); néhány lehet első féltől származó (pl. egy szervezet belső tárolói); néhány lehet védett harmadik féltől származó (pl. adatszolgáltatóktól származó).
• Bevitel: A GUAC a felmenő adatforrásokból importálja az artifaktokra, projektekre, erőforrásokra, sebezhetőségekre, tárolókra és még a fejlesztőkre vonatkozó adatokat is.
• Összeállítás: A GUAC a különböző upstream forrásokból származó nyers metaadatok beolvasztása után az entitások azonosítóinak normalizálásával, a függőségi fa végigjárásával és az implicit entitási kapcsolatok újraértelmezésével koherens gráffá állítja össze azokat.
• Lekérdezés: Az összerakott gráf alapján a felhasználók lekérdezhetik a gráfban szereplő entitásokhoz csatolt vagy azokhoz kapcsolódó metaadatokat. Egy adott artifaktra vonatkozó lekérdezés megadhatja annak SBOM-ját, származását, összeállítási láncát, projektértékelő lapját, sebezhetőségeit és legutóbbi életciklusbeli eseményeit, csakúgy a tranzitív függőségeit.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.