

اخیراً گوگل درخواستی برای همکاری در پروژه منبع باز به نام «نمودار درک ترکیب محصول» ارائه کرده است ([۱]GUAC)، منتشر شد. به گفته این غول فناوری: “طرح GUAC هنوز در مراحل ابتدایی خود است، اما هدف آن تغییر رویکرد صنعت به زنجیره تامین نرم افزار است.”
گوگل گفت: “GUAC به نیازهای رو به رشد در سراسر اکوسیستم برای ایجاد محصول نرم افزاری، امنیت و ابرداده های وابستگی پاسخ می دهد.” در راستای تلاش های گوگل برای سازماندهی و در دسترس قرار دادن اطلاعات جهانی برای عموم، هدف GUAC ایجاد عدالت در دسترسی به این اطلاعات امنیتی با در دسترس قرار دادن رایگان آن برای همه شرکت ها، نه فقط مشاغلی که بودجه امنیتی و فناوری اطلاعات را در اختیار دارند، در نظر گرفته است. سطح شرکتی
به گفته گوگل: “همکاری گروه هایی مانند OpenSSF[۲] SLSA[۳]تبادل داده بسته نرم افزاری و CycloneDX سازمان ها را قادر می سازد تا با انواع فن آوری ها از جمله مشخصات اجزای نرم افزار (SBOM) یکپارچه شوند.[۴]) گواهینامه هایی در مورد نحوه ایجاد نرم افزارها و پایگاه های داده آسیب پذیر امضا کرده اند.
این مقاله میگوید: «این دادهها به تنهایی مفید هستند، اما ترکیب آنها برای دستیابی به یک دیدگاه جامع، چندان آسان نیست. اسناد در پایگاه های داده و منابع مختلف پراکنده شده و به نهادهای مختلف اکوسیستم متصل می شوند. بنابراین، نمی توان به راحتی آنها را برای پاسخ به سؤالات سطح بالاتر در مورد دارایی های نرم افزاری یک سازمان ادغام کرد.”
GUAC برای رسیدگی به این مسائل ایجاد شد و در این راستا منابع مختلفی از ابرداده های امنیتی نرم افزار را با همکاری شرکت هایی مانند Kusari، Citi و Purdue University ترکیب می کند. از منظر فنی، GUAC شامل چهار حوزه کاربردی جمعآوری ابرداده از پایگاههای اطلاعاتی امنیتی نرمافزار، پردازش آن دادهها، تبدیل دادهها به نمودارهای ثابت، و جستجوی محصولات برای بررسی SBOM، منشاء، زنجیره تولید، امتیازات، آسیبپذیریها و سایر ویژگیها است.
گوگل مینویسد: «GUAC ابردادههای امنیتی نرمافزار را در مقیاس جمعآوری و ترکیب میکند و آنها را به دادههای معنادار و کاربردی تبدیل میکند». ما در حال انتشار یک اثبات طراحی مفهومی هستیم. با استفاده از آن، میتوانید یک پایگاه داده کوچک از ابردادههای نرمافزار، از جمله ریشههای SLSA SBOM و نتایج پروژه OpenSSF را جستجو کنید.»
پس از افشای طرح GUAC، گوگل طرح جدیدی را برای پاداش دادن به شکارچیان باگ در پروژه های منبع باز این شرکت اعلام کرد.
[۱] نمودار درک ترکیب آرتیفکت
[۲] بنیاد امنیت منبع باز
[۳] سطوح زنجیره تامین برای مصنوعات نرم افزاری
[۴] صورت حساب مواد نرم افزاری