Los desarrolladores de GUAC, una herramienta para encontrar vulnerabilidades en el software empresarial, han anunciado hoy que han donado el proyecto al consorcio OpenSSF.
GUAC de Google
GUAC fue lanzado en 2022 por Google LLC, la empresa de ciberseguridad Kusari Inc, Citibank NA y la Universidad de Purdue. OpenSSF, el consorcio al que se ha donado el proyecto, se puso en marcha dos años antes bajo el ala de The Linux Foundation. Mantiene más de una docena de herramientas de ciberseguridad de código abierto centradas en tareas como encontrar vulnerabilidades de código y evaluar su gravedad.
Puede leer también | OpenSSF : lanzó una nueva herramienta que escanea repositorios de código abierto para evitar paquetes maliciosos
Antes de que las empresas adopten un nuevo programa informático, tienen que comprobar si es seguro. En muchos casos, los datos necesarios para llevar a cabo la evaluación pueden obtenerse fácilmente del desarrollador de la aplicación y de fuentes de terceros. Pero revisar a fondo esos datos para sacar una conclusión correcta puede llevar mucho tiempo hasta el punto de resultar poco práctico.
GUAC, oficialmente Graph for Understanding Artifact Composition, está diseñado para facilitar la tarea. Permite a los equipos de software agregar todos los datos de ciberseguridad disponibles sobre una aplicación en un repositorio centralizado. A partir de ahí, los desarrolladores pueden realizar consultas para encontrar rápidamente posibles vulnerabilidades.
Puede leer también | La comunidad de código abierto se desplaza a la izquierda con OpenSSF y Google SLSA
Una de las fuentes de las que GUAC obtiene datos sobre la seguridad de las aplicaciones es la lista de materiales de software (SBOM). Se trata de un documento en el que los desarrolladores enumeran todos los componentes de código abierto que incluye un programa y las herramientas que se utilizaron para crearlo. Los SBOM facilitan tareas como determinar si un programa puede contener un módulo de código abierto con una vulnerabilidad conocida.
GUAC también puede ingerir los llamados atestados in-toto. Se trata de archivos que tienen una función similar a la de un SBOM, pero que proporcionan una visión más detallada de la aplicación que describen. Un atestado in-to incluye información sobre cada paso del proceso de desarrollo a través del cual se creó una pieza de software.
Estos documentos también contienen una firma criptográfica. Es una especie de sello virtual que los desarrolladores colocan en un archivo antes de liberarlo. Al comprobar el sello, una empresa puede determinar si el archivo al que se adjunta puede haber sido manipulado por piratas informáticos.
GUAC también funciona con el marco SLSA de Google. Lanzado en 2021, SLSA ayuda a las organizaciones a comprobar la seguridad del sistema de compilación utilizado para crear una aplicación. Un sistema de compilación es la herramienta responsable de convertir los archivos de código en bruto de los desarrolladores en un programa funcional.
Puede leer también | Las 10 razones por las cuales debes saber Python para la ciberseguridad
Los registros de ciberseguridad de GitHub, los ordenadores portátiles de los desarrolladores y los repositorios de almacenamiento de archivos alojados en las principales nubes públicas pueden agregarse en GUAC. También funciona con fuentes de datos más especializadas, como deps.dev, un servicio gestionado por Google que proporciona información técnica sobre proyectos de código abierto.
Una vez que GUAC recopila los datos de ciberseguridad disponibles sobre una aplicación, los equipos de software pueden utilizar una función de consulta integrada para buscar vulnerabilidades. Los usuarios también tienen acceso a un panel de visualización de datos. Esto facilita la comprobación de la fiabilidad de los componentes de software externos en los que se basa un programa para funcionar.
Según los desarrolladores de GUAC, las empresas pueden utilizar la plataforma para escanear una aplicación de código abierto en busca de vulnerabilidades conocidas antes de instalarla. También detecta problemas relacionados, como los casos en que un programa carece de un SBOM que describa qué componentes incluye. Asimismo, identifica los componentes de software que no se han descargado de un repositorio seguro.
Puede leer también | ¿Es la inteligencia artificial la solución a las amenazas de ciberseguridad?
Gestionar las actualizaciones de las aplicaciones es otra tarea que la plataforma promete facilitar. Las cargas de trabajo empresariales suelen incorporar varios módulos de código abierto. Antes de actualizar un módulo a la última versión, los desarrolladores pueden utilizar GUAC para comprobar si esa versión presenta posibles puntos débiles de seguridad.
"Con GUAC, los usuarios pueden establecer conexiones y conformidad en su catálogo de software, desvelar lagunas en los datos de la cadena de suministro de software y permitir la detección y respuesta ante amenazas", escribieron en un blog Brandon Lum, ingeniero de Google, y Michael Lieberman, Director de Tecnología de Kusari.
La seguridad por delante
GUAC se une a la cartera de software de la OpenSSF como proyecto en fase de incubación. El respaldo de un gran consorcio de código abierto puede facilitar que un proyecto de software se gane la confianza de usuarios empresariales reacios al riesgo. Además, los desarrolladores de GUAC afirman que unirse a la OpenSSF les dará acceso a información técnica y otros recursos.
Sobre OpenSSF
OpenSSF, o Open Source Security Foundation, es una iniciativa colaborativa lanzada en 2020 que tiene como objetivo mejorar la seguridad del software de código abierto a nivel global. Esta fundación fue creada en respuesta a la creciente importancia del software de código abierto en todos los aspectos de la infraestructura tecnológica moderna y la necesidad de abordar los desafíos de seguridad asociados con su uso extendido.
Puede leer también | La Importancia de un Centro de Operaciones de Ciberseguridad
OpenSSF reúne a una amplia gama de organizaciones líderes en la industria tecnológica, incluyendo empresas, proyectos de código abierto, comunidades, desarrolladores individuales y expertos en seguridad. Su misión es proporcionar recursos, herramientas, mejores prácticas y orientación para fortalecer la seguridad del software de código abierto y fomentar una cultura de seguridad en toda la comunidad de desarrollo de código abierto.
Algunas de las actividades y áreas de enfoque de OpenSSF incluyen:
-
Mejores Prácticas de Seguridad: Desarrollar y promover mejores prácticas de seguridad para el desarrollo, mantenimiento y uso de software de código abierto.
-
Herramientas de Seguridad: Desarrollar y mantener herramientas de seguridad de código abierto para ayudar a identificar y mitigar vulnerabilidades en el software.
-
Educación y Capacitación: Proporcionar recursos educativos y de capacitación sobre seguridad del software de código abierto para desarrolladores, mantenedores y usuarios.
-
Análisis de Vulnerabilidades: Colaborar en la identificación y análisis de vulnerabilidades en el software de código abierto, así como en la divulgación responsable de estas vulnerabilidades y su corrección.
-
Colaboración y Comunidad: Fomentar la colaboración y la participación activa de la comunidad en la mejora de la seguridad del software de código abierto, a través de eventos, grupos de trabajo y proyectos colaborativos.
Puede leer también | Competencias en ciberseguridad más demandadas
En resumen, OpenSSF es una iniciativa importante para fortalecer la seguridad del software de código abierto y promover su adopción segura en todo tipo de aplicaciones y sistemas. Al reunir a diversas partes interesadas y proporcionar recursos y orientación, OpenSSF busca abordar los desafíos de seguridad asociados con el software de código abierto y mejorar la resiliencia de la infraestructura tecnológica global.