رونمایی گوگل از پروژه جدید با هدف افزایش امنیت زنجیره تأمین نرمافزار
به تازگی شرکت گوگل یک درخواست همکاری برای پروژه اپن سورسی به نام «نموداری جهت درک ترکیب محصولات» ([1]GUAC) منتشر کرد. بنا به گفته این غول دنیای فناوری: «طرح GUAC هنوز در مراحل ابتدایی قرار دارد اما هدف آن تغییر رویکرد صنعت نسبت به زنجیره تأمین نرمافزار است».
در مطلب گوگل آمده: «GUAC به نیازهای روزافزونی که در کل این اکوسیستم برای ایجاد محصولات نرمافزار، امنیت و ابردادههای وابستگی (وابستگی نرمافزارها) وجود دارد، پاسخ میدهد». در راستای تلاش گوگل برای ساماندهی و ارائه اطلاعات جهانی به عموم افراد، هدف GUAC برقراری عدالت در زمینه دسترسی به این اطلاعات امنیتی از طریق ارائه رایگان آن به همه شرکتها است نه فقط کسبوکارهایی که بودجه امنیت و فناوری اطلاعاتی در سطح سازمانی دارند.
براساس گفته گوگل: «همکاری گروههایی مثل OpenSSF[2] ،SLSA[3]، مبادله دادههای بستههای نرمافزاری و CycloneDX به سازمانها امکان میدهد که به فناوریهای مختلف از جمله صورتحساب اجزای نرمافزاری (SBOM[4])، گواهینامههای امضا شده درباره نحوه ساختن نرمافزارها و پایگاههای داده آسیبپذیری دسترسی داشته باشند.
در این مطلب آمده: «این دادهها به تنهایی مفید هستند اما ترکیب آنها برای رسیدن به یک دید جامع کار چندان آسانی نیست. اسناد در پایگاههای داده و منابع گوناگون پراکنده شده و به موجودیتهای مختلف اکوسیستم پیوست شدهاند؛ بنابراین امکان ادغام راحت آنها برای پاسخ به سؤالات سطح بالاتر درباره داراییهای نرمافزاری یک سازمان وجود ندارد».
GUAC با هدف رسیدگی به این مسائل ایجاد شده و در این راستا منابع مختلف ابردادههای امنیت نرمافزاری را با همکاری شرکتهایی مثل Kusari ،Citi و دانشگاه پردیو با هم ترکیب میکند. از دیدگاه فنی، GUAC شامل چهار حوزه کاربرد جمعآوری ابردادهها از پایگاههای داده امنیت نرمافزار، پردازش این دادهها، تبدیل دادهها به نمودارهایی منسجم و کوئری گرفتن از محصولات برای بررسی SBOM، منشأ، زنجیره ساخت، امتیازات، آسیبپذیریها و سایر ویژگیهای آنها است.
گوگل مینویسد: «GUAC ابردادههای امنیت نرمافزار را در مقیاس عظیم تجمیع و ترکیب کرده و آنها را به دادههایی معنادار و کاربردی تبدیل میکند. ما اثبات مفهوم پروژه را منتشر میکنیم. با استفاده از آن میتوانید از یک پایگاه داده کوچک متشکل از ابردادههای نرمافزاری کوئری بگیرید از جمله منشأ SLSA SBOM و امتیازات OpenSSF پروژه».
پس از رونمایی طرح GUAC، گوگل از برگذاری یک طرح جدید با هدف پاداش به شکارچیان باگ در پروژههای اپن سورس این شرکت خبر داد.
[1] Graph for Understanding Artifact Composition
[2] Open Source Security Foundation
[3] Supply Chain Levels for Software Artifacts
[4] Software Bills of Materials