گوگل از پروژه جدیدی برای افزایش امنیت زنجیره تامین نرم افزار خود رونمایی کرده است

گوگل از پروژه جدیدی برای افزایش امنیت زنجیره تامین نرم افزار خود رونمایی کرده است

اخیراً گوگل درخواستی برای همکاری در پروژه منبع باز به نام «نمودار درک ترکیب محصول» ارائه کرده است ([۱]GUAC)، منتشر شد. به گفته این غول فناوری: “طرح GUAC هنوز در مراحل ابتدایی خود است، اما هدف آن تغییر رویکرد صنعت به زنجیره تامین نرم افزار است.”

گوگل گفت: “GUAC به نیازهای رو به رشد در سراسر اکوسیستم برای ایجاد محصول نرم افزاری، امنیت و ابرداده های وابستگی پاسخ می دهد.” در راستای تلاش های گوگل برای سازماندهی و در دسترس قرار دادن اطلاعات جهانی برای عموم، هدف GUAC ایجاد عدالت در دسترسی به این اطلاعات امنیتی با در دسترس قرار دادن رایگان آن برای همه شرکت ها، نه فقط مشاغلی که بودجه امنیتی و فناوری اطلاعات را در اختیار دارند، در نظر گرفته است. سطح شرکتی

به گفته گوگل: “همکاری گروه هایی مانند OpenSSF[۲] SLSA[۳]تبادل داده بسته نرم افزاری و CycloneDX سازمان ها را قادر می سازد تا با انواع فن آوری ها از جمله مشخصات اجزای نرم افزار (SBOM) یکپارچه شوند.[۴]) گواهینامه هایی در مورد نحوه ایجاد نرم افزارها و پایگاه های داده آسیب پذیر امضا کرده اند.

این مقاله می‌گوید: «این داده‌ها به تنهایی مفید هستند، اما ترکیب آن‌ها برای دستیابی به یک دیدگاه جامع، چندان آسان نیست. اسناد در پایگاه های داده و منابع مختلف پراکنده شده و به نهادهای مختلف اکوسیستم متصل می شوند. بنابراین، نمی توان به راحتی آنها را برای پاسخ به سؤالات سطح بالاتر در مورد دارایی های نرم افزاری یک سازمان ادغام کرد.”

GUAC برای رسیدگی به این مسائل ایجاد شد و در این راستا منابع مختلفی از ابرداده های امنیتی نرم افزار را با همکاری شرکت هایی مانند Kusari، Citi و Purdue University ترکیب می کند. از منظر فنی، GUAC شامل چهار حوزه کاربردی جمع‌آوری ابرداده از پایگاه‌های اطلاعاتی امنیتی نرم‌افزار، پردازش آن داده‌ها، تبدیل داده‌ها به نمودارهای ثابت، و جستجوی محصولات برای بررسی SBOM، منشاء، زنجیره تولید، امتیازات، آسیب‌پذیری‌ها و سایر ویژگی‌ها است.

گوگل می‌نویسد: «GUAC ابرداده‌های امنیتی نرم‌افزار را در مقیاس جمع‌آوری و ترکیب می‌کند و آن‌ها را به داده‌های معنادار و کاربردی تبدیل می‌کند». ما در حال انتشار یک اثبات طراحی مفهومی هستیم. با استفاده از آن، می‌توانید یک پایگاه داده کوچک از ابرداده‌های نرم‌افزار، از جمله ریشه‌های SLSA SBOM و نتایج پروژه OpenSSF را جستجو کنید.»

پس از افشای طرح GUAC، گوگل طرح جدیدی را برای پاداش دادن به شکارچیان باگ در پروژه های منبع باز این شرکت اعلام کرد.

 

[۱] نمودار درک ترکیب آرتیفکت

[۲] بنیاد امنیت منبع باز

[۳] سطوح زنجیره تامین برای مصنوعات نرم افزاری

[۴] صورت حساب مواد نرم افزاری