Google hat am Donnerstag bekannt gegeben, dass es Mitwirkende für eine neue Open-Source-Initiative namens Graph for Understanding Artifact Composition (GUAC) sucht, um die Software-Lieferkette zu verbessern.
„GUAC adressiert einen Bedarf, der durch die zunehmenden Bemühungen im gesamten Ökosystem entstanden ist, Metadaten zur Softwareerstellung, zur Sicherheit und zu Abhängigkeiten zu generieren“, erklärten Brandon Lum, Mihai Maruseac und Isaac Hepworth von Google in einer Mitteilung an The Hacker News.
„GUAC soll die Verfügbarkeit dieser Sicherheitsinformationen demokratisieren, indem es sie frei zugänglich und nützlich für jede Organisation macht, nicht nur für diejenigen, die über umfangreiche Sicherheits- und IT-Mittel verfügen.
Die Software-Lieferkette hat sich zu einem lukrativen Angriffsvektor für Bedrohungsakteure entwickelt, da das Ausnutzen einer einzigen Schwachstelle – wie im Fall von SolarWinds und Log4Shell – einen Weg öffnet, der lang genug ist, um die Lieferkette zu durchqueren und sensible Daten zu stehlen, Malware einzuschleusen und die Kontrolle über die Systeme der nachgelagerten Kunden zu übernehmen.
Google hat letztes Jahr ein Framework namens SLSA (kurz für Supply chain Levels for Software Artifacts) veröffentlicht, das die Integrität von Softwarepaketen sicherstellen und unbefugte Änderungen verhindern soll.
Außerdem hat Google eine aktualisierte Version der Security Scorecards auf den Markt gebracht, die das Risiko aufzeigt, das Abhängigkeiten von Drittanbietern für ein Projekt darstellen können, so dass Entwickler/innen fundierte Entscheidungen darüber treffen können, ob sie anfälligen Code akzeptieren oder andere Alternativen in Betracht ziehen.
Im vergangenen August hat Google außerdem ein Bug-Bounty-Programm eingeführt, um Sicherheitslücken in einer Reihe von Projekten wie Angular, Bazel, Golang, Protocol Buffers und Fuchsia zu identifizieren.
GUAC ist der jüngste Versuch des Unternehmens, die Gesundheit der Lieferkette zu stärken. Zu diesem Zweck werden Metadaten zur Softwaresicherheit aus verschiedenen öffentlichen und privaten Quellen in einem „Wissensgraphen“ zusammengefasst, der Fragen zu Risiken in der Lieferkette beantworten kann.
Die Daten, die dieser Architektur zugrunde liegen, stammen u.a. von Sigstore, GitHub, Open Source Vulnerabilities (OSV), Grype und Trivy, um sinnvolle Beziehungen zwischen Schwachstellen, Projekten, Ressourcen, Entwicklern, Artefakten und Repositories herzustellen.
„Die Abfrage dieses Graphen kann zu übergeordneten organisatorischen Ergebnissen wie Audits, Richtlinien, Risikomanagement und sogar zur Unterstützung von Entwicklern führen“, so Google.
Anders ausgedrückt: Es geht darum, die verschiedenen Punkte zwischen einem Projekt und seinem Entwickler, einer Schwachstelle und der entsprechenden Softwareversion sowie dem Artefakt und dem Quellcode-Repository, zu dem es gehört, zu verbinden.
Das Ziel ist also, dass Unternehmen nicht nur feststellen können, ob sie von einer bestimmten Schwachstelle betroffen sind, sondern auch den Radius der Explosion abschätzen können, wenn die Lieferkette gefährdet ist.
Google scheint sich jedoch auch der potenziellen Bedrohungen bewusst zu sein, die GUAC untergraben könnten. Dazu gehören Szenarien, in denen das System dazu verleitet wird, gefälschte Informationen über Artefakte und ihre Metadaten zu übernehmen, was durch eine kryptografische Überprüfung der Datendokumente verhindert werden soll.
„GUAC soll sowohl als Monitor für öffentliche Lieferketten- und Sicherheitsdokumente als auch für die interne Nutzung durch Organisationen zur Abfrage von Informationen über die von ihnen verwendeten Artefakte dienen“, so der Internetriese.