软件物料清单 (SBOM) 只是了解安全数据的第一步。GUAC 使用依赖关系图更直观地显示有问题的组件。
译自KubeCon 24: GUAC Reveals Where the Vulnerabilities Hide,作者 Joab Jackson。
现在,您的安全团队已为其开源应用程序准备了软件物料清单(SBOM)。接下来是什么?如果您参加 3 月 19 日至 22 日在巴黎举行的KubeCon + CloudNativeCon EU,请在Kusari 展位(#M30)了解有关理解工件组成图 (GUAC)的更多信息,该图将所有 SBOM 数据放入更易于理解的图形数据格式中,并用漏洞数据对其进行扩充。
周四,开源安全基金会(OpenSSF)采用 GUAC作为孵化项目。Open SSF 将为 GUAC 带来越多内容,包括 SBOM 和CycloneDX领域专家的访问权限和反馈。
“有很多工具生成 [安全] 数据,但没有很多工具将所有这些信息汇总在一起并真正利用它们,”Kusari 联合创始人兼首席技术官Michael Lieberman在接受 The New Stack 采访时说。“GUAC 将所有这些信息汇总到一个图形数据库中,您可以实际使用它来获取可操作的见解。”
Kusari、Google 以及普渡大学和花旗的研究人员开发了 GUAC,并吸引了雅虎、Microsoft、Red Hat、Guidewire 和 ClearAlpha Technologies 等公司的支持。
到目前为止,该项目已吸引了 50 位贡献者、300 位社区成员,并在 GitHub 上获得了 1,100 多颗星。
Lieberman 说,GUAC 确实是一项社区努力。
安全学者长期以来一直认为依赖关系图可能很有用。Lieberman 是 OpenSSF 管理委员会和 TAC 成员;也是 CNCF 安全 TAG 负责人——他看到商业部门对这种性质的工具非常感兴趣。
“我们没有各自开发不同的东西,而是走到一起开始构建一些东西,”Lieberman 说。
GUAC 如何工作?
当前版本可用作为 beta 版,通过标准 Rest API、GraphAPI和命令行提供结果。
GAUC 提供数据以显示详细图表,可视化 SBOM 中的所有软件,包括第一方、第三方或开源软件。该软件以SPDX和CycloneDX格式摄取 SBOM。
它有一组收集器,可从诸如Docker Hub等存储库中提取数据。它还可以从本地文件系统、Amazon Web Services的 S3、Google Cloud和 GitHub Releases 等外部包存储库中获取数据。
为了扩充这些数据,GUAC 通过 API 从开源见解的deps.dev和开源漏洞等来源获取并整合漏洞数据。
“我们正在使用这些其他开源工具丰富 SBOM,”Lieberman 说。
GUAC 整理这些数据并将信息作为一组数据节点和关系返回。这些工件可用于了解软件供应链数据中的差距,并找出软件堆栈中的薄弱环节。
您可以查询图表以找出 SBOM 中的漏洞,包括传递依赖关系,其中一个应用程序依赖于一个库,而该库又依赖于一个易受攻击的元素。
除了安全性之外,它还可以突出显示具有限制性许可证的包(这可能会导致诉讼)。
您的命令行界面中是否存在漏洞?GUAC可以显示给您。
KubeCon 的意见
在 KubeCon,GUAC 团队正在寻找更多来自那些觉得自己对供应链问题了解不够的人的意见。他们正在寻找尚未发现的用例。
他们正在寻找新的数据源和对新功能或应该添加的功能的反馈。
上个月,OpenSSF发布了一套原则用于保护软件包存储库,建立分类法和分层安全成熟度,从一到四。
至于 Kusari 本身,它正在基于 GUAC 和其他工具构建一个安全平台。该公司正在考虑将其作为一项服务提供,或者可能销售带有附加分析功能的版本。
“你们的软件环境每年都变得越来越复杂。为了理解这些复杂的环境,你们需要有工具来提供帮助。而这就是 Kusari 的用武之地。”利伯曼说。
GAUC公开了一张图像,其中包含 log4j 和 text4shell 漏洞。
本文在云云众生(yylives.cc/)首发,欢迎大家访问。
