Չորեքշաբթի օրը Google-ը հայտարարեց GUAC-ի 0.1 բետա տարբերակի մասին (Graph for Understanding Artifact Composition), որը նախատեսված է ընկերությունների համար և ապահովում է դրանց ծրագրային ապահովման մատակարարման շղթան:
Որոնողական հսկան, որպես API, ծրագրավորողների համար հասանելի է դարձնում open source framework-ը ՝ ինտեգրելով իրենց իսկ սեփական գործիքները:
GUAC-ը նպատակ ունի տարբեր աղբյուրներից ծրագրային ապահովման անվտանգության մետատվյալները համախմբել գրաֆիկական տվյալների բազայի մեջ, որը քարտեզագրում է առկա ծրագրակազմը՝ օգնելով կազմակերպություններին որոշել, թե ինչպե՞ս են առկա ծրագրերն ազդում մեկը մյուսի վրա:
«GUAC-ն ընդունում է ծրագրային ապահովման անվտանգության մետատվյալները, ինչպիսիք են՝ SBOM-ները, և քարտեզագրում է ծրագրերի միջև կապը, որպեսզի դրանով հասկանալի լինի կոնկրետ ծրագրային ապահովման անվտանգության դիրքը»:
Այլ կերպ ասած, այն նախագծված է` Software Bill of Materials (SBOM) փաստաթղթերը, SLSA հավաստագրերը, OSV-ի խոցելիության հոսքերը, deps.dev-երն ու ընկերության ներքին մասնավոր մետատվյալները միավորելու համար:
Համանման setup-ի նպատակն է լուծել բարձր մակարդակի մատակարարման շղթայի հարձակումների հարցը՝ գեներացնելով ապահովագրման մեխանիզմ և արագ արձագանքելով անվտանգության կարգավորմանը:
«GUAC-ը կարող է օգտագործվել հավաստելու համար, որ builder-ը վտանգված է (օրինակ՝ հավատարմագրերի արտահոսքի կամ makware-ների գործարկման շնորհիվ)», – նշում են Google-ի փորձագետները:
Աղբյուրը՝ https://thehackernews.com/
