[ad_1]
IL Grafico per comprendere la composizione degli artefatti (GUAC) è un progetto dedicato al miglioramento della sicurezza delle catene di fornitura del software che è recentemente diventato un progetto di incubazione nell’ambito della Open Source Security Foundation (OpenSSF).
Questo sforzo di collaborazione, avviato da Kusari, Google e Purdue University, è progettato per gestire le dipendenze e offrire informazioni utili sulla sicurezza delle catene di fornitura del software. Ha il supporto di entità nei settori dei servizi finanziari e della tecnologia, come Yahoo!, Microsoft, Red Hat, Guidewire e ClearAlpha Technologies.
GUAC affronta le crescenti preoccupazioni sulla sicurezza del software e sull’integrità delle catene di fornitura del software, esacerbate dalla crescente frequenza degli attacchi software e dall’adozione diffusa di strumenti open source. Fungendo da affidabile fonte di verità, GUAC mira a colmare il divario di informazioni tra sviluppatori e team di sicurezza, facilitando una comprensione reciproca delle vulnerabilità del software, dei problemi di conformità e del rilevamento delle minacce.
Dal suo lancio in versione beta nel maggio dell’anno precedente, GUAC si è rapidamente affermato come uno strumento essenziale per ottenere informazioni complete sulle catene di fornitura del software. Il progetto ha una comunità di 50 contributori, 300 membri e ha raccolto oltre 1.100 stelle su GitHub.
La tecnologia GUAC consente un’analisi approfondita dei componenti software, inclusi software di prima parte, di terze parti e open source, aggregando i metadati di sicurezza in un database grafico.
Ciò consente agli utenti di tracciare le connessioni, garantire la conformità, identificare le lacune nei dati nella catena di fornitura del software e rafforzare le capacità di rilevamento e risposta alle minacce. La piattaforma supporta un’ampia gamma di origini dati, tra cui Software Bill of Materials (SBOM) nei formati SPDX e CycloneDX, SLSA e attestazioni in-toto e metadati da vari servizi cloud e repository esterni.
Convertendo i diversi metadati della catena di fornitura del software in un formato strutturato e analizzabile, GUAC migliora la visibilità delle dipendenze del software e dell’integrità dei componenti software. La sua architettura flessibile ed estensibile accoglie dati provenienti da file system locali, servizi di cloud storage e repository di pacchetti esterni, ulteriormente arricchiti da ulteriori fonti di metadati. Questo approccio globale posiziona GUAC come uno strumento utile per proteggere le catene di fornitura del software dalle minacce emergenti, promuovendo un ecosistema software più sicuro sia per gli sviluppatori che per le organizzazioni.
[ad_2]
Source link
