samedi, 18 mai 2024

Google lance un outil de sécurité open source pour centraliser la gestion de SBOM

La sécurité open source est devenue un thème clé de la sécurité d’entreprise cette année. Suite à une vague d’attaques de la chaîne d’approvisionnement logicielle, ciblant des fournisseurs tels que SolarWinds et Colonial Pipeline, Président Biden a publié un Executive Order (EO) appelant les organisations à créer une nomenclature logicielle précise des matériaux (SBOM).

Pour soutenir cet effort, aujourd’hui, Google a annoncé le lancement d’une nouvelle -projet source appelé Graph for Understanding Artifact Composition (GUAC), un outil qui peut agréger les métadonnées de sécurité de plusieurs projets open source et les afficher dans un seul graphique.

Avec GUAC, les utilisateurs peuvent interroger les métadonnées, y compris les SBOM, la provenance SLSA et les documents de scorecard pour vérifier l’intégrité et la sécurité de leur chaîne d’approvisionnement logicielle.

Pour les entreprises, GUAC fournit une solution pour auditer les logiciels open source et pour accroître la transparence sur les SBOM utilisés dans le cadre d’autres solutions open source.

Audit de la chaîne d’approvisionnement logicielle 

L’annonce intervient dans un contexte de recrudescence des attaques de la chaîne d’approvisionnement logicielle, qui ont augmenté de 300 % en 2021. Les éditeurs de logiciels comprennent que les acteurs de la menace recherchent activement des vulnérabilités open source à exploiter, en particulier celles aussi répandues que Log4j.

Cela s’inscrit également dans le cadre d’une collaboration continue entre Google et des groupes comme OpenSSF, SLSA, SPDX et CycloneDX pour créer un accès immédiat aux SBOM, des attestations signées sur la façon dont le logiciel a été créé via SLSA, SLSA3 GitHub Actions Builder et des bases de données de vulnérabilités.

Visant à créer un outil central pour unifier les SBOM de plusieurs projets open source, a le potentiel d’améliorer la sécurité open source dans son ensemble.

« Le EO et OMB [Office of Management and Budget] ont entraîné une énorme augmentation de la création de SBOM et d’autres métadonnées logicielles », a déclaré Brandon Lum, ingénieur logiciel senior de l’équipe de sécurité Open Source de Google. « Cependant, maintenant que nous avons une mer de documents de métadonnées, qu’en faisons-nous ? GUAC fournit un moyen de donner un sens au chaos des métadonnées logicielles. »

La visibilité sur ces métadonnées a un rôle essentiel à jouer pour permettre aux entreprises de gérer la sécurité des logiciels open source et des dépendances.

« L’efficacité des politiques et de la gestion des risques dépend de la qualité des métadonnées logicielles disponibles. GUAC fournit un aperçu plus approfondi du catalogue de logiciels d’une organisation, ce qui offrira une meilleure visibilité, automatisation et gestion des risques », a déclaré Lum.

Les sources de données à partir desquelles le GUAC peut extraire des données incluent des ensembles de données ouverts et publics comme OSV, des référentiels internes propriétaires et des solutions tierces, telles que les systèmes internes des fournisseurs de données. Plus précisément, GUAC importe des données sur les artefacts, les projets, les ressources, les vulnérabilités, les référentiels et les développeurs.

Quel est son rôle dans la sécurité open source ?

Pour les RSSI, GUAC fournit une solution pour identifier les composants faibles de la chaîne d’approvisionnement logicielle.

À mesure que l’annonce blog met en évidence, les utilisateurs pourront identifier les composants critiques les plus utilisés dans la chaîne d’approvisionnement logicielle, les points faibles, les dépendances à risque, si les binaires peuvent être tracés vers un référentiel géré en toute sécurité, et plus encore, et finalement, trouver des moyens d’éviter les compromis.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline