Google выпускает инструмент для оценки безопасности программного обеспечения
Google разработала GUAC (Graph for Understanding Artifact Composition) в сотрудничестве с Университетом Пердью, Kusari и Citibank NA. В дальнейшем разработка проекта будет осуществляться при поддержке группы технических консультантов. В нее войдут сотрудники из Intel, IBM, Shopify и из других технологических компаний.
Любая организация, прежде чем запустить новый программный продукт, должна проверить его безопасность. Процесс определения того, соответствует ли программный продукт требованиям кибербезопасности, включает проверку нескольких типов технических данных. Часто эти технические данные разбросаны по нескольким системам.
По словам инженеров Google, тот факт, что данные разбросаны по нескольким системам, создает сложность. Это затрудняет для компаний сбор всех технических деталей, необходимых для оценки безопасности программного продукта. В результате оценка кибербезопасности может занять значительное количество времени и усилий.
«Чтобы понять что-то сложное, например, радиус действия уязвимости, нужно отследить взаимосвязь между компонентом и всем остальным в портфолио - задача, которая может охватывать тысячи документов метаданных из сотен источников», - рассказали инженеры из команды безопасности Google в блоге компании. «В экосистеме с открытым исходным кодом количество документов может достигать миллионов».
Новый инструмент Google GUAC призван упростить эту задачу, так как может автоматически собирать данные кибербезопасности о программном продукте из различных источников. Затем GUAC организует данные в форме, которую разработчики могут использовать, чтобы определить, является ли программный продукт безопасным.
Одним из типов данных кибербезопасности собираемых GUAC является спецификация программного обеспечения - SBOM (Software Bill of Materials). SBOM представляет собой список компонентов, из которых состоит приложение, и инструментов, которые использовались для его разработки. SBOM может содержать потенциально ценную информацию о кибербезопасности, например, содержит ли приложение какой-либо компонент с открытым исходным кодом с известной уязвимостью.
GUAC может объединять информацию SBOM с данными SLSA и OpenSSF Scorecards.
SLSA — это платформа, позволяющая добавлять криптографические подписи в программный код. Проверяя криптографическую подпись файла, компания может определить загружен ли этот файл из надежного источника.
OpenSSF Scorecards, в свою очередь, представляет собой инструмент кибербезопасности, разработанный Open Source Security Foundation. Инструмент может сканировать код проекта с открытым исходным кодом, чтобы выявить потенциальные проблемы кибербезопасности. Например, он может определить, содержит ли проект известные уязвимости.
Используя новый инструмент GUAC от Google, компании смогут объединять OpenSSF Scorecards, информацию SLSA и SBOM в единую среду. Инструмент также облегчает анализ собранной информации. После завершения обработки разработчики могут просмотреть набор данных, чтобы убедиться, что оцениваемое приложение соответствует требованиям кибербезопасности.
Google предполагает, что компании будут использовать GUAC не только для проверки безопасности новых программных продуктов, но и для выполнения более сложного анализа. Например, этот инструмент может помочь организации определить, сколько из ее приложений затронуто недавно обнаруженной уязвимостью. Кроме того, разработчики могут анализировать безопасность отдельных компонентов кода в приложении.
В настоящее время GUAC находится на стадии проверки концепции. Поисковый гигант и другие компании, поддерживающие GUAC, планируют сосредоточить свои усилия по увеличению числа типов данных кибербезопасности, которые можно обрабатывать при помощи GUAC. Параллельно компании планируют расширить существующие возможности инструмента.
