Google’s lanceert Opensource cybersecuritytool GUAC

opensource

Bedrijven kunnen via de tool potentiële zwaktes in hun software opsporen en de nodige maatregelen treffen voor de release ervan.

Google stelde Graph for Understanding Artifact Composition (GUAC) voor in een blogbericht. De ontwikkelaars verwijzen naar de supply chain-security als één van de grootste bezorgdheden bij bedrijven. “We hebben recent een significante stijging gezien in software supply chain aanvallen, Log4j zwakheden en andere veiligheidsissues. In dat opzicht kijken we uit naar medewerkers voor het nieuwe opensource project.

GUAC

Het project GUAC staat nog in de kinderschoenen. Toch zal het de kijk van bedrijven op software supply chains veranderen, aldus de ontwikkelaars. In een latere fase zal een kerngroep, met medewerkers van onder andere Intel, IBM en Shopify, het project verfijnen. Het komt er op neer dat bedrijven via GUAC hun software zullen kunnen checken op veiligheid.

Voor organisaties software los laten, moeten ze er zeker van zijn dat die geen kwetsbaarheden of andere veiligheidsproblemen vertoont. Om die analyse te maken, zijn vaak verschillende tools en platformen nodig en omvatten vaak talloze documenten. Dat maakt het volgens Google ingewikkeld voor veel bedrijven om tot een duidelijk beeld te komen van de sterkte van hun software.

Guac moet die inspanningen vergemakkelijken. Volgens Google kan de tool automatisch beveiligingsgegevens van een softwareproduct verzamelen, uit verschillende bronnen tegelijk. GUAC giet na de scan alle data in een overzicht waaruit de ontwikkelaars gemakkelijk eventuele problemen kunnen detecteren en aanpakken.

SBOM en andere info

In de blog beschrijft het Google Opensource Security team welke data kunnen worden gehaald uit scans, met dank aan de samenwerking met OpenSSF, SLSA en andere CycloneDX’en. Het gaat onder andere om data zoals SBOM, een lijst met onderdelen van de applicatie en de tools waarmee die is gebruikt. Zulke SBOM kan waardevolle veiligheidsinfo bevatten.

GUAC legt automatisch verbanden tussen de verschillende componenten in de scans. Zo kan de toepassing code repositories herkennen. Op die manier kan de toepassing datapatronen blootleggen, die op hun beurt kunnen wijzen op beveiligingsproblemen. Met de toepassing kunnen bedrijven niet enkel nieuwe software checken. Met GUAC is het ook mogelijk om bestaande applicaties onder de loep te nemen.

GUAC, een opensource project op GitHub, zit in de proof-of-conceptfase. Google en de andere bedrijven die het project steunen, zijn van plan om hun inspanningen te richten op het uitbreiden van het aantal cyberbeveiligingsdatatypes. Voor de tool in officiële release gaat, zullen de bestaande mogelijkheden ervan nog vergroten. Op donderdag 27 oktober stelt het GUAC-team de toepassing voor tijdens Kubecon NA 2022.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home