Framework Revolucionário do Google para Cadeias de Suprimentos de Software Seguras
25 de Maio de 2023

O Google anunciou na quarta-feira a versão Beta 0.1 do GUAC (Graph for Understanding Artifact Composition - Grafos para Compreensão da Composição de Artefatos) para organizações segurarem suas cadeias de suprimentos de software.

Para isso, a gigante das buscas está disponibilizando a estrutura de código aberto como uma API para desenvolvedores integrarem suas próprias ferramentas e motores de política.

O GUAC tem como objetivo agregar metadados de segurança de software de diferentes fontes em um banco de dados de grafo que mapeia as relações entre o software, ajudando as organizações a determinar como uma peça de software afeta outra.

"O Graph for Understanding Artifact Composition (GUAC) fornece informações organizadas e acionáveis sobre a posição de segurança de sua cadeia de suprimentos de software", diz o Google em sua documentação.

"O GUAC consome metadados de segurança de software, como SBOMs, e mapeia a relação entre software para que você possa entender completamente sua posição de segurança de software." Em outras palavras, é projetado para reunir documentos de Software Bill of Materials (SBOM), atestações SLSA, feeds de vulnerabilidade OSV, insights deps.dev e metadados privados internos de uma empresa para ajudar a criar uma imagem melhor do perfil de risco e visualizar as relações entre artefatos, pacotes e repositórios.

Com essa configuração em vigor, o objetivo é enfrentar ataques de cadeia de suprimentos de alto perfil, gerar um plano de correção e responder rapidamente a comprometimentos de segurança.

"Por exemplo, o GUAC pode ser usado para certificar que um construtor está comprometido (por exemplo, através de vazamento de credenciais ou ingestão de malware) e, em seguida, consultar os artefatos afetados", disse o Google.

"Isso permite que o CISO (Chief Information Security Officer) crie facilmente uma política para proibir o uso de qualquer software dentro do raio de explosão."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...