رونمایی گوگل از پروژه جدید با هدف افزایش امنیت زنجیره تأمین نرم‌افزار

به تازگی شرکت گوگل یک درخواست همکاری برای پروژه اپن سورسی به نام «نموداری جهت درک ترکیب محصولات» ([1]GUAC) منتشر کرد. بنا به گفته این غول دنیای فناوری: «طرح GUAC هنوز در مراحل ابتدایی قرار دارد اما هدف آن تغییر رویکرد صنعت نسبت به زنجیره تأمین نرم‌افزار است».

در مطلب گوگل آمده: «GUAC به نیازهای روزافزونی که در کل این اکوسیستم برای ایجاد محصولات نرم‌افزار، امنیت و ابرداده‌های وابستگی (وابستگی نرم‌افزارها) وجود دارد، پاسخ می‌دهد». در راستای تلاش گوگل برای ساماندهی و ارائه اطلاعات جهانی به عموم افراد، هدف GUAC برقراری عدالت در زمینه دسترسی به این اطلاعات امنیتی از طریق ارائه رایگان آن به همه شرکت‌ها است نه فقط کسب‌وکارهایی که بودجه امنیت و فناوری اطلاعاتی در سطح سازمانی دارند.

براساس گفته گوگل: «همکاری گروه‌هایی مثل OpenSSF[2] ،SLSA[3]، مبادله داده‌های بسته‌های نرم‌افزاری و CycloneDX به سازمان‌ها امکان می‌دهد که به فناوری‌های مختلف از جمله صورتحساب اجزای نرم‌افزاری (SBOM[4])، گواهینامه‌های امضا شده درباره نحوه ساختن نرم‌افزارها و پایگاه‌های داده آسیب‌پذیری دسترسی داشته باشند.

در این مطلب آمده: «این داده‌ها به تنهایی مفید هستند اما ترکیب آنها برای رسیدن به یک دید جامع کار چندان آسانی نیست. اسناد در پایگاه‌های داده و منابع گوناگون پراکنده شده و به موجودیت‌های مختلف اکوسیستم پیوست شده‌اند؛ بنابراین امکان ادغام راحت آنها برای پاسخ به سؤالات سطح بالاتر درباره دارایی‌های نرم‌افزاری یک سازمان وجود ندارد».

GUAC با هدف رسیدگی به این مسائل ایجاد شده و در این راستا منابع مختلف ابرداده‌های امنیت نرم‌افزاری را با همکاری شرکت‌هایی مثل Kusari ،Citi و دانشگاه پردیو با هم ترکیب می‌کند. از دیدگاه فنی، GUAC شامل چهار حوزه کاربرد جمع‌آوری ابرداده‌ها از پایگاه‌های داده امنیت نرم‌افزار، پردازش این داده‌ها، تبدیل داده‌ها به نمودارهایی منسجم و کوئری گرفتن از محصولات برای بررسی SBOM، منشأ، زنجیره ساخت، امتیازات، آسیب‌پذیری‌ها و سایر ویژگی‌های آنها است.

گوگل می‌نویسد: «GUAC ابرداده‌های امنیت نرم‌افزار را در مقیاس عظیم تجمیع و ترکیب کرده و آنها را به داده‌هایی معنادار و کاربردی تبدیل می‌کند. ما اثبات مفهوم پروژه را منتشر می‌کنیم. با استفاده از آن می‌توانید از یک پایگاه داده کوچک متشکل از ابرداده‌های نرم‌افزاری کوئری بگیرید از جمله منشأ SLSA SBOM و امتیازات OpenSSF پروژه».

پس از رونمایی طرح GUAC، گوگل از برگذاری یک طرح جدید با هدف پاداش به شکارچیان باگ در پروژه‌های اپن سورس این شرکت خبر داد.

[1] Graph for Understanding Artifact Composition

[2] Open Source Security Foundation

[3] Supply Chain Levels for Software Artifacts

[4] Software Bills of Materials