La sécurité open source est devenue un thème clé de la sécurité d’entreprise cette année. Suite à une vague d’attaques de la chaîne d’approvisionnement logicielle, ciblant des fournisseurs tels que SolarWinds et Colonial Pipeline, Président Biden a publié un Executive Order (EO) appelant les organisations à créer une nomenclature logicielle précise des matériaux (SBOM).
Pour soutenir cet effort, aujourd’hui, Google a annoncé le lancement d’une nouvelle -projet source appelé Graph for Understanding Artifact Composition (GUAC), un outil qui peut agréger les métadonnées de sécurité de plusieurs projets open source et les afficher dans un seul graphique.
Avec GUAC, les utilisateurs peuvent interroger les métadonnées, y compris les SBOM, la provenance SLSA et les documents de scorecard pour vérifier l’intégrité et la sécurité de leur chaîne d’approvisionnement logicielle.
Pour les entreprises, GUAC fournit une solution pour auditer les logiciels open source et pour accroître la transparence sur les SBOM utilisés dans le cadre d’autres solutions open source.
Audit de la chaîne d’approvisionnement logicielle
L’annonce intervient dans un contexte de recrudescence des attaques de la chaîne d’approvisionnement logicielle, qui ont augmenté de 300 % en 2021. Les éditeurs de logiciels comprennent que les acteurs de la menace recherchent activement des vulnérabilités open source à exploiter, en particulier celles aussi répandues que Log4j.
Cela s’inscrit également dans le cadre d’une collaboration continue entre Google et des groupes comme OpenSSF, SLSA, SPDX et CycloneDX pour créer un accès immédiat aux SBOM, des attestations signées sur la façon dont le logiciel a été créé via SLSA, SLSA3 GitHub Actions Builder et des bases de données de vulnérabilités.
Visant à créer un outil central pour unifier les SBOM de plusieurs projets open source, a le potentiel d’améliorer la sécurité open source dans son ensemble.
« Le EO et OMB [Office of Management and Budget] ont entraîné une énorme augmentation de la création de SBOM et d’autres métadonnées logicielles », a déclaré Brandon Lum, ingénieur logiciel senior de l’équipe de sécurité Open Source de Google. « Cependant, maintenant que nous avons une mer de documents de métadonnées, qu’en faisons-nous ? GUAC fournit un moyen de donner un sens au chaos des métadonnées logicielles. »
La visibilité sur ces métadonnées a un rôle essentiel à jouer pour permettre aux entreprises de gérer la sécurité des logiciels open source et des dépendances.
« L’efficacité des politiques et de la gestion des risques dépend de la qualité des métadonnées logicielles disponibles. GUAC fournit un aperçu plus approfondi du catalogue de logiciels d’une organisation, ce qui offrira une meilleure visibilité, automatisation et gestion des risques », a déclaré Lum.
Les sources de données à partir desquelles le GUAC peut extraire des données incluent des ensembles de données ouverts et publics comme OSV, des référentiels internes propriétaires et des solutions tierces, telles que les systèmes internes des fournisseurs de données. Plus précisément, GUAC importe des données sur les artefacts, les projets, les ressources, les vulnérabilités, les référentiels et les développeurs.
Quel est son rôle dans la sécurité open source ?
Pour les RSSI, GUAC fournit une solution pour identifier les composants faibles de la chaîne d’approvisionnement logicielle.
À mesure que l’annonce blog met en évidence, les utilisateurs pourront identifier les composants critiques les plus utilisés dans la chaîne d’approvisionnement logicielle, les points faibles, les dépendances à risque, si les binaires peuvent être tracés vers un référentiel géré en toute sécurité, et plus encore, et finalement, trouver des moyens d’éviter les compromis.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.
.
