25 mai 2023Ravie LakshmananSécurité des logiciels / chaîne d’approvisionnement

Google

Google a annoncé mercredi Version bêta 0.1 de GUAC (abréviation de Graph for Understanding Artifact Composition) pour les organisations afin de sécuriser leurs chaînes d’approvisionnement logicielles.

À cette fin, le géant de la recherche est mise à disposition le framework open source en tant qu’API permettant aux développeurs d’intégrer leurs propres outils et moteurs de politique.

GUAC vise à agréger les métadonnées de sécurité logicielle de différentes sources dans une base de données graphique qui cartographie les relations entre les logiciels, aidant les organisations à déterminer comment un logiciel affecte un autre.

« Graph for Understanding Artifact Composition (GUAC) vous donne des informations organisées et exploitables sur votre position en matière de sécurité de la chaîne d’approvisionnement logicielle », Google dit dans sa documentation.

Publicité
Google

« Le GUAC ingère les métadonnées de sécurité logicielle, comme les SBOM, et établit la relation entre les logiciels afin que vous puissiez pleinement comprendre votre position en matière de sécurité logicielle. »

En d’autres termes, il est conçu pour rassembler les documents de nomenclature logicielle (SBOM), les attestations SLSA, les flux de vulnérabilité OSV, les informations deps.dev et les métadonnées privées internes d’une entreprise pour aider à créer une meilleure image du profil de risque et à visualiser les relations. entre les artefacts, les packages et les référentiels.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Avec une telle configuration en place, l’objectif est de lutter contre les attaques de haut niveau de la chaîne d’approvisionnement, de générer un plan de correctifs et de répondre rapidement aux compromis de sécurité.

« Par exemple, GUAC peut être utilisé pour certifier qu’un constructeur est compromis (par exemple, via une fuite d’informations d’identification ou l’ingestion de logiciels malveillants), puis interroger les artefacts concernés », a déclaré Google.

« Cela permet aux [chief information security officer] pour créer facilement une politique interdisant l’utilisation de tout logiciel dans le rayon de l’explosion. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.8/5 - (29 votes)
Publicité
Article précédentSony prévoit qu’il doublera presque les revenus des ports de jeux PC à 450 millions de dollars en 2023
Article suivantNon, le Samsung Galaxy S23 FE ne sera pas lancé de sitôt
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici