Google Launches GUAC Open Source Project to Secure Software Supply Chain
2022/10/20 TheHackerNews — 木曜日に Google は、ソフトウェア・サプライチェーン強化の継続的な取り組みの一環として、新たなオープンソース構想 Graph for Understanding Artifact Composition (GUAC) とへの、コントリビュータを募集していると発表した。Google の Brandon Lum と、Mihai Maruseac、Isaac Hepworth は、「GUAC とは、ソフトウェアのビルド/セキュリティ/依存関係のメタデータを生成するための、エコシステム全体で急成長している取り組みから生まれたニーズに対応するものだ」と、The Hacker News で共有した投稿で述べている。
彼は、「GUAC は、エンタープライズ規模のセキュリティや資金を持つ組織だけではなく、すべての組織による自由なアクセスと有用性を実現するために、一連のセキュリティ情報の利用が民主化されることを目的としている」と、付け加えている。
SolarWinds や Log4Shell のケースに見られるように、脅威アクターたちはソフトウェア・サプライチェーンを、有利な攻撃経路として捉え始めている。なぜなら、たった1つの弱点を突くだけで、サプライチェーンを縦断して機密データを盗み出し、マルウェアを仕込み、下流の顧客が所有するシステムを制御するという、必要にして十分な道筋が開かれるからだ。
昨年に Google は、ソフトウェア・パッケージの完全性を確保し、不正な改変を防ぐことを目的とした、SLSA (Supply chain Levels for Software Artifacts) と呼ばれるフレームワークを発表した。
また、サードパーティの依存関係がプロジェクトにもたらすリスクを特定し、開発者が脆弱なコードを受け入れるか、他の選択肢を検討するか、十分な情報に基づいて判断できるようにするセキュリティ・スコアカードの最新版も発表している。
また、サードパーティの依存関係が、個々のプロジェクトにもたらすリスクの可能性を特定する、セキュリティ・スコアカードのアップデート版もリリースした。それにより、開発者に選択肢が提供され、脆弱なコードの受け入れ、もしくは、他の代替案の検討を推進するための、十分な情報に基づく決定がくだされる。
2022年8月に Google は、Angular/Bazel/Golang/Protocol Buffers/Fuchsia といった複数のプロジェクトにまたがる、セキュリティ脆弱性を特定するためのバグバウンティ・プログラムを導入した。
GUAC は、サプライチェーンの健全性を強化するための、同社における最新の取り組みである。GUAC は、官民に広がる各種のソースから、ソフトウェア・セキュリティ・メタデータを集約し、サプライチェーンのリスクに関する質問に答えることができる、Knowledge Graph の作成を実現する。
このアーキテクチャを支えるデータは、Sigstore/GitHub/Open Source Vulnerabilities (OSV)/Grype/Trivy などから取得され、脆弱性/プロジェクト/リソース/開発者/成果物/リポジトリなどの間で、意味のある関係を導き出す。
Google は、「このグラフを照会することで、監査/ポリシー/リスク管理が推進され、さらには開発者の支援などの、より高度な組織的成果が得られるようになる」と述べている。言い換えれば、プロジェクトと開発者や、脆弱性とソフトウェア・バージョン、成果物とソース・リポジトリなどの間で、さまざまな点を結びつけることになる。したがって、組織における特定の脆弱性の影響を判断するだけではなく、サプライチェーンが侵害された場合の爆発半径を推定することも、その目的となる。
その一方で、GUAC をトリガーとして、それぞれの組織を弱体化させる潜在的な脅威についても、Google は認識しているようだ。たとえば、システムが騙されて、成果物やメタデータに関する偽造情報を取り込んでしまうというシナリオも考えられるが、データ文書の暗号検証により、それを軽減することが期待されている。
Google は、「サプライチェーンやセキュリティ文書のパブリックなモニターとして、また、組織が内部で使用するアーティファクトの情報を照会するユースケースとして、GUAC が活用されることが目的である」と述べている。
Google が GUAC に取り組む背景には、コードの開発/サードパーティ・コンポーネントの検証/ビルド環境の強化/コードの配信などを安全なものして、サプライチェーンにおける問題を解決しようという意気込みがあるのでしょう。9月1日の「NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために」にあるように、米国の重要インフラと国家安全保障システムに対する脅威だと、サプライチェーン攻撃は捉えられています。これまでにも Google は、SLSA や Scorecards や Open-Source Maintenance Crew に投資し続けてきましたが、それらのプロジェクトが連携するようになってきたのでしょう。なお、文中の図に neo4j は、The Graph Data Platform for Today’s Intelligent Applications とのことです。
IoT OT Security News 
You must be logged in to post a comment.