随着软件供应链攻击的显著增加,以及 Log4j 漏洞带来的灾难性后果和影响,软件供应链面临的风险已经成为网络安全生态系统共同关注的最重要话题之一。根据业内权威机构 Sonatype 发布的2022软件供应链现状报告,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量增加了742%。
幸运的是大家逐渐开始意识到软件供应链攻击的巨大风险,这也促使各企业积极采取一系列避免或缓解软件供应链安全风险的行动。例如美国政府就应对软件供应链安全风险发布了网络安全行政命令。除此以外,许多大公司开始共同推出有助于打击针对软件供应链的恶意行为者日益增长的威胁的措施。
2022 年 10 月,Google 宣布了一个新的开源项目,称为 Graph for Understanding Artifact Composition(简称 GUAC)。该计划尚处于早期阶段,但有望改变行业对软件供应链的理解。GUAC 的目标是解决整个生态系统不断涌现的生成软件构建、安全性和依赖性元数据的需求,旨在通过让每个企业组织(而不仅仅是那些拥有企业级安全和 IT 资金的组织)免费访问和使用这些安全信息,有效提高这些信息的可用性。
作为一个组织,Google 的核心使命是整合全球信息,使人人都可以访问并从中受益。就网络安全世界而言,GUAC 符合该使命。GUAC 的目标是为所有组织提供顶级安全信息,包括那些没有 IT 预算或企业级安全基础设施来为自己获取此信息的组织。GUAC 是一种将有价值的软件安全元数据聚合到高保真图形数据库中的尝试。该数据库不仅包括不同软件实体的标识,还将详细说明它们之间的标准关系。
不同团体之间的社区协作产生了软件物料清单(SBOM) 等政策文档、详细说明软件构建方式的签名证明(例如SLSA)以及可以更轻松地发现和消除漏洞的数据库,例如 Global Security数据库(GSD)。GUAC 将帮助组合和综合所有这些数据库中可用的信息,并将这些信息组织成更全面的格式。这样任何人都可以找到有关他们打算使用的任何软件资产的高级安全问题所需的答案。
图片来源:Google
GUAC 有四个主要功能:
GUAC 可以配置为连接到各种软件安全元数据源。一些数据来源可能是公开的(例如,OSV);有些可能是企业自有的(例如,企业的内部存储库);有些可能是专有的第三方(例如,来自数据供应商)。
GUAC 从其上游数据源导入有关工件、项目、资源、漏洞、存储库甚至开发人员的数据。
从不同的上游来源获取原始元数据后,GUAC 通过规范化实体标识符、遍历依赖树和具体化隐式实体关系(例如,项目→开发人员)将其组装成一个连贯的图;漏洞→软件版本;artifact → source repo,等等。
针对组合图,可以查询附加到图中实体或与实体相关的元数据。查询给定的工件,反馈其 SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件——以及其传递依赖项等。
图片来源:Google
GUAC 是一个免费的开源平台,它将软件安全元数据的不同来源聚合到一个来源中。作为一种安全工具,GUAC 将在保护其软件基础架构免受供应链攻击的三个阶段中对组织有用。以下是它对每个阶段的用处:
主动阶段是企业采取措施以防止发生大规模软件危害的阶段。在此阶段,用户往往想知道他们最常使用的软件供应链生态系统的关键组件,而 GUAC 将使用户更容易识别它们。使用 GUAC,用户可以识别整体安全基础架构中的弱点,包括暴露于风险依赖项的区域。这样,就可以更好地在攻击发生之前阻止它们。
运营阶段是预防阶段,用户可以在其中确定要使用或部署的软件是否符合供应链风险防范措施的所有正确要求。使用 GUAC,用户可以验证软件是否符合要求的政策标准,或者生产中的所有二进制文件是否都能够追溯到安全存储库。
尽管采取了所有措施,软件供应链漏洞仍可能发生。反应阶段是用户决定在发现违规时要采取什么措施的阶段。借助 GUAC,受影响的企业可以查明其库存的哪一部分受到漏洞的影响、受影响的严重程度以及风险是什么。此信息将有助于减轻攻击并防止将来再次发生。
那么, GUAC 对企业来说意味着什么?由于该项目仍处于开发阶段,用户可以通过多种方式以个人或组织的身份参与。
参考链接:
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
https://security.googleblog.com/2022/10/announcing-guac-great-pairing-with-slsa.html