Google presenta un proyecto de código abierto para mejorar la seguridad de la cadena de suministro de software

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Google solicitó colaboradores para un nuevo proyecto de código abierto llamado Graph for Understanding Artifact Composition (GUAC) como parte de sus esfuerzos para mejorar la seguridad de la cadena de suministro de software.

Según el gigante de la tecnología, GUAC está todavía en sus primeras fases, pero está destinado a cambiar la forma en que la industria percibe las cadenas de suministro de software.

Google indicó que la colaboración en grupos como Open Source Security Foundation (OpenSSF), Supply Chain Levels for Software Artifacts (SLSA), Software Package Data Exchange (SPDX) y CycloneDX permite a las organizaciones acceder fácilmente a una serie de tecnologías, como Software Bills of Materials (SBOMs), certificados firmados sobre cómo se construyó el software y bases de datos de vulnerabilidad cruzadas.

GUAC se ha creado para abordar estos problemas reuniendo muchas fuentes diferentes de metadatos de seguridad de software, también gracias a las asociaciones entre el gigante tecnológico, Kusari, la Universidad de Purdue y Citi.

Desde un punto de vista técnico, GUAC tiene cuatro áreas principales de funcionalidad: recopilación de metadatos de una variedad de fuentes de bases de datos de seguridad de software, ingestión de dichos datos, cotejo en un gráfico coherente y consulta de un artefacto dado para ver su SBOM, procedencia, cadena de construcción, cuadro de mando del proyecto, vulnerabilidades, etc.

“GUAC agrega y sintetiza los metadatos de seguridad del software a escala y los hace significativos y procesables”, escribió Google.

La creación de GUAC se produce meses después de que Google anunciara un nuevo programa diseñado para recompensar a los investigadores que encuentren fallos en sus proyectos de código abierto.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *