谷歌周三宣布了0.1 Beta 版本的GUAC(Graph for Understanding Artifact Composition 的縮寫),供組織保護(hù)其軟件供應(yīng)鏈。
(資料圖)
為此�����,這家搜索巨頭將開源框架作為 API 提供給開發(fā)人員��,以集成他們自己的工具和策略引擎�。
了解工件構(gòu)成圖 (GUAC) 為您提供了對軟件供應(yīng)鏈安全狀況的有條理且可操作的見解�。GUAC 吸收軟件安全元數(shù)據(jù),如 SBOM���,并繪制出軟件之間的關(guān)系����,以便您可以充分了解您的軟件安全位置��。使用 GUAC�����,您可以推動(dòng)更高級別的組織成果�����,例如審計(jì)、政策���、風(fēng)險(xiǎn)管理����,甚至開發(fā)人員協(xié)助��。
GUAC 如何運(yùn)作
GUAC旨在將來自不同來源的軟件安全元數(shù)據(jù)聚合到一個(gè)圖形數(shù)據(jù)庫中���,該圖形數(shù)據(jù)庫映射出軟件之間的關(guān)系���,幫助組織確定一個(gè)軟件如何影響另一個(gè)軟件。
“用于理解工件組成的圖表 (GUAC) 為您提供了對軟件供應(yīng)鏈安全位置的有條理和可操作的見解����,”谷歌在其文檔中說。
“GUAC 攝取軟件安全元數(shù)據(jù)����,如 SBOM����,并繪制出軟件之間的關(guān)系�����,以便您可以充分了解您的軟件安全位置��?����!?/p>
換句話說�,它旨在將軟件材料清單 (SBOM) 文檔�、SLSA 證明、OSV 漏洞源����、deps.dev 見解和公司的內(nèi)部私有元數(shù)據(jù)匯集在一起,以幫助更好地描繪風(fēng)險(xiǎn)概況并可視化關(guān)系在工件�����、包和存儲(chǔ)庫之間���。
有了這樣的設(shè)置���,目標(biāo)是應(yīng)對備受矚目的供應(yīng)鏈攻擊��,制定補(bǔ)丁計(jì)劃�,并迅速應(yīng)對安全威脅�。
“例如,GUAC 可用于證明構(gòu)建器受到損害(例如���,通過憑據(jù)泄漏或惡意軟件的攝入)��,然后查詢受影響的工件��,”谷歌說��。
“這使 [首席信息安全官] 能夠輕松制定政策�,禁止使用爆炸半徑內(nèi)的任何軟件����。”
