Google anunció el jueves que está buscando colaboradores para una nueva iniciativa de código abierto llamada Graph for Understanding Artifact Composition , también conocida como GUAC, como parte de sus esfuerzos continuos para reforzar la cadena de suministro de software .
«GUAC aborda una necesidad creada por los crecientes esfuerzos en todo el ecosistema para generar metadatos de dependencia, seguridad y compilación de software», dijeron Brandon Lum, Mihai Maruseac e Isaac Hepworth de Google en una publicación compartida con The Hacker News.
«GUAC está destinado a democratizar la disponibilidad de esta información de seguridad al hacerla de libre acceso y útil para todas las organizaciones, no solo para aquellas con seguridad a escala empresarial y financiamiento de TI».
La cadena de suministro de software se ha convertido en un vector de ataque lucrativo para los actores de amenazas, en el que explotar solo una debilidad, como se vio en el caso de SolarWinds y Log4Shell , abre un camino lo suficientemente largo como para atravesar la cadena de suministro y robar datos confidenciales, plantar malware, y tomar el control de los sistemas pertenecientes a clientes intermedios.
Google, el año pasado, lanzó un marco llamado SLSA (abreviatura de Niveles de cadena de suministro para artefactos de software) que tiene como objetivo garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas.
También lanzó una versión actualizada de Security Scorecards , que identifica el riesgo que las dependencias de terceros pueden introducir en un proyecto, lo que permite a los desarrolladores tomar decisiones informadas sobre la aceptación de código vulnerable o la consideración de otras alternativas.
En agosto pasado, Google introdujo además un programa de recompensas por errores para identificar vulnerabilidades de seguridad que abarcan una serie de proyectos como Angular, Bazel, Golang, Protocol Buffers y Fuchsia.
GUAC es el último esfuerzo de la compañía para reforzar la salud de la cadena de suministro. Lo logra mediante la agregación de metadatos de seguridad de software de una combinación de fuentes públicas y privadas en un «gráfico de conocimiento» que puede responder preguntas sobre los riesgos de la cadena de suministro.
Los datos que sustentan esta arquitectura se derivan de Sigstore , GitHub, vulnerabilidades de código abierto ( OSV ), Grype y Trivy , entre otros, para derivar relaciones significativas entre vulnerabilidades, proyectos, recursos, desarrolladores, artefactos y repositorios.
«Consultar este gráfico puede generar resultados organizacionales de mayor nivel, como auditorías, políticas, gestión de riesgos e incluso asistencia para desarrolladores», dijo Google.
Dicho de otra manera, la idea es conectar los diferentes puntos entre un proyecto y su desarrollador, una vulnerabilidad y la versión de software correspondiente, y el artefacto y el repositorio de origen al que pertenece.
El objetivo, por lo tanto, es no solo permitir que las organizaciones determinen si están afectadas por una vulnerabilidad específica, sino también estimar el radio de explosión en caso de que la cadena de suministro se vea comprometida.
Dicho esto, Google también parece ser consciente de las amenazas potenciales que podrían socavar el GUAC, incluidos escenarios en los que se engaña al sistema para que ingiera información falsificada sobre artefactos y sus metadatos, que espera mitigar mediante la verificación criptográfica de documentos de datos.
«[GUAC] tiene como objetivo satisfacer el caso de uso de ser un monitor para la cadena de suministro pública y los documentos de seguridad, así como para el uso interno de las organizaciones para consultar información sobre los artefactos que utilizan», señaló el gigante de Internet.