O Google anunciou na quarta-feira a versão Beta 0.1 do GUAC (Graph for Understanding Artifact Composition - Grafos para Compreensão da Composição de Artefatos) para organizações segurarem suas cadeias de suprimentos de software.
Para isso, a gigante das buscas está disponibilizando a estrutura de código aberto como uma API para desenvolvedores integrarem suas próprias ferramentas e motores de política.
O GUAC tem como objetivo agregar metadados de segurança de software de diferentes fontes em um banco de dados de grafo que mapeia as relações entre o software, ajudando as organizações a determinar como uma peça de software afeta outra.
"O Graph for Understanding Artifact Composition (GUAC) fornece informações organizadas e acionáveis sobre a posição de segurança de sua cadeia de suprimentos de software", diz o Google em sua documentação.
"O GUAC consome metadados de segurança de software, como SBOMs, e mapeia a relação entre software para que você possa entender completamente sua posição de segurança de software." Em outras palavras, é projetado para reunir documentos de Software Bill of Materials (SBOM), atestações SLSA, feeds de vulnerabilidade OSV, insights deps.dev e metadados privados internos de uma empresa para ajudar a criar uma imagem melhor do perfil de risco e visualizar as relações entre artefatos, pacotes e repositórios.
Com essa configuração em vigor, o objetivo é enfrentar ataques de cadeia de suprimentos de alto perfil, gerar um plano de correção e responder rapidamente a comprometimentos de segurança.
"Por exemplo, o GUAC pode ser usado para certificar que um construtor está comprometido (por exemplo, através de vazamento de credenciais ou ingestão de malware) e, em seguida, consultar os artefatos afetados", disse o Google.
"Isso permite que o CISO (Chief Information Security Officer) crie facilmente uma política para proibir o uso de qualquer software dentro do raio de explosão."