Google Perşembe günü, yeni bir açık kaynak girişimine katkıda bulunanlar aradığını duyurdu. Artifakt Kompozisyonunu Anlama Grafiği GUAC olarak da bilinen ve devam eden çabaların bir parçası olarak.
Google’dan Brandon Lum, Mihai Maruseac ve Isaac Hepworth, “GUAC, ekosistem genelinde yazılım oluşturma, güvenlik ve bağımlılık meta verileri oluşturmaya yönelik gelişen çabaların yarattığı bir ihtiyaca hitap ediyor”.
“GUAC, yalnızca kurumsal ölçekte güvenlik ve BT finansmanı olanlar için değil, her kuruluş için ücretsiz erişilebilir ve yararlı hale getirerek bu güvenlik bilgilerinin kullanılabilirliğini demokratikleştirmeyi amaçlıyor.”
Google, geçen yıl adında bir çerçeve yayınladı. SLSA (Tedarik Zinciri Düzeyleri for Software Artifacts’in kısaltması), yazılım paketlerinin bütünlüğünü sağlamayı ve yetkisiz değişiklikleri önlemeyi amaçlar.
Ayrıca güncellenmiş bir sürümünü başlattı Güvenlik Puan Kartları Hangi tanımlar üçüncü taraf bağımlılıklarının bir projeye getirebileceği risk, geliştiricilerin savunmasız kodu kabul etme veya diğer alternatifleri değerlendirme konusunda bilinçli kararlar vermelerine olanak tanır.
Geçtiğimiz Ağustos ayında Google, Angular, Bazel, Golang, Protocol Buffers ve Fuchsia gibi bir dizi projeyi kapsayan güvenlik açıklarını belirlemek için bir hata ödül programı tanıtıldı.
GUAC, şirketin tedarik zincirinin sağlığını güçlendirmeye yönelik en son çabasıdır. Bunu, kamu ve özel kaynakların bir karışımından elde edilen yazılım güvenliği meta verilerini bir araya getirerek tedarik zinciri riskleriyle ilgili soruları yanıtlayabilen bir “bilgi grafiği” haline getirerek başarır.
Google, “Bu grafiği sorgulamak, denetim, politika, risk yönetimi ve hatta geliştirici yardımı gibi daha üst düzey organizasyonel sonuçlara yol açabilir” dedi.
Başka bir deyişle, fikir, bir proje ile geliştiricisi, bir güvenlik açığı ile karşılık gelen yazılım sürümü ve ait olduğu yapı ve kaynak deposu arasındaki farklı noktaları birbirine bağlamaktır.
Bu nedenle amaç, kuruluşların yalnızca belirli bir güvenlik açığından etkilenip etkilenmediklerini belirlemelerini sağlamak değil, aynı zamanda tedarik zincirinin tehlikeye girmesi durumunda patlama yarıçapını da tahmin etmektir.
Bununla birlikte, Google, sistemin, veri belgelerinin kriptografik doğrulaması yoluyla hafifletmeyi umduğu eserler ve bunların meta verileri hakkında sahte bilgiler alması için kandırıldığı senaryolar da dahil olmak üzere, GUAC’ı baltalayabilecek potansiyel tehditlerin farkında görünüyor.