Google 开源 GUAC,又一个保护软件供应链的项目


自从去年年底 Log4j 漏洞被发现以来,软件供应链的安全问题就是目前很多企业和政府组织非常重视的问题。

此前 Google 就已经针对软件供应链的安全开源了一个名为 SLSA(Supply chain Levels for Software Artifacts)的框架,这是一个新的端到端框架,Google 希望通过 SLSA 能推动标准和准则的实施,以确保整个软件供应链中软件工件的完整性。

SLSA 框架的灵感来自其强制性的内部 「Binary Authorization for Borg」 执行检查器,该检查器可确保生产软件得到适当的审查和授权,特别是在代码可以访问用户数据的情况下。Binary Authorization for Borg 已经在 Google 内部使用了 8 年时间,并且是 Google 所有生产工作负载的强制性检查器。

Google 近日又公开了一个针对软件供应链的全新开源项目,该项目名为 GUAC(Graph for Understanding Artifact Composition),由 Google 与 Kusari、普渡大学和花旗银行合作开发。

这是一个免费的工具,可以将许多不同来源的软件安全元数据结合起来,GUAC 的目的是使软件构建、安全和依赖性元数据信息具有更广泛的可用性,使每个组织都能免费获得这些信息,而不仅仅是那些行业顶尖的企业组织。

此前存在的问题在于,尽管各企业组织目前可以获得软件材料清单、漏洞数据库和其他信息来源,但很难将这些信息结合起来并加以综合,无法获得一个更全面的数据视角。目前 GUAC 还处于早期开发阶段。

GUAC 有以下四个关键功能:

  • 收集:可以配置 GUAC,并将其连接到各种软件安全元数据的信息来源(包括:公开、内部,以及合作的第三方数据来源)。
  • 摄取:GUAC 从其上游数据源导入关于工件、项目、资源、漏洞、存储库甚至开发者的数据。
  • 整理:从不同的上游数据源摄取原始元数据后,GUAC 通过规范实体标识符、遍历依赖树等,将其组合成一个连贯的图表。
  • 查询:对照整理好的图表,用户可以查询附属于图中实体或与之相关的元数据。查询一个给定的工件可以返回它的 SBOM、出处、漏洞和最近的生命周期事件,以及那些与之相关的依赖关系。

目前你可以在 GitHub 上找到该项目的更多信息,该项目还在开发中, 目前并不完善,感兴趣的开发者也能积极参与项目开发。


相關推薦

2023-09-14

遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。 路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软

2024-07-25

计算项目发布我们的服务器、网络和数据中心设计,并让供应链在我们的设计上实现标准化,从而节省了数十亿美元。我们通过开源领先的工具(如 PyTorch、React 等)从生态系统的创新中受益匪浅。只要我们长期坚持,这种方法

2021-11-12

存在严重缺陷,暴露了数十万家长、儿童和教师的数据,Google 搜索便可访问用户的个人信息。 几乎就在 Skolplattform 被披隐私漏洞的同时,终于有程序员出手拯救这个应用了。 Landgren 的本职工作是瑞典一家初创咨询公司 Iteam

2022-07-12

是为了好玩而编写代码,只有在我真正得到报酬时才担心供应链安全。” 目前,在 PyPI 的 @dstufft 的帮助下,atomicwrites 的旧版本已经恢复。

2023-06-30

续可持续性、完整性、发展和采用。小组初始成员包括 Google、华为、Posit、Salesforce、西门子和意法半导体。 具体工作范围包括: 确保 Open VSX Registry 的长期可行性,使其成为一个充满活力的开源项目,以及在 open-vsx.org 上提

2023-03-01

司是有国界的,而很明显,由此带来对整个开源生态乃至供应链的打击是没有国界的。 这种由地缘政治引发的贸易战延伸到技术领域乃至开源领域的混战,十分可悲。面对这样“连带”的制裁,开源生态如此大受打击,开源还

2024-10-19

国家开源创新体系、开源创新国际合作、开源治理与开源供应链安全、开放方法论等。此外,秘书长朱其罡在介绍中提出倡议:希望通过《开源前沿课》,能够为社会各界提供一个全面了解和掌握开源知识的平台,共同推动开源

2022-10-12

、兆芯、海光等系列CPU提供主板和整机产品研发、生产及供应链服务的高新技术企业,产品涵盖台式电脑、一体机电脑、笔记本电脑、服务器、云终端、OPS、金融工控机、加固机、工业控制主机和板卡等,以及满足各行业需求的

2023-07-25

产品等联网设备提供共同的安全要求,以便它们“在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新,或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产

2024-10-17

一些在开源软件社区拥有丰富经验的专家分享了关于如何维持这一关键生态系统的看法。 世界已经开始依赖数百万熟练的软件开发人员-- FOSS 项目的维护者--的免费工作。但是,世界却没有给他们一点小费。诚然,许多开源

2023-02-10

理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。 Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor

2022-09-16

终于等到你! 2022 Google 开发者大会今日如约重聚,主旨演讲干货新鲜出炉,一起回顾一下! 谷歌一直积极帮助开发者灵活运用前沿科技,探索创新的方式以解决现实问题,以科技之力应对变化,帮助他人,如 Google

2022-04-29

近日 Google 正式发布了 Chrome 101 稳定版本,在新版本中引入了多项新功能。如果你已经看过了更新内容,那么就这些新特性而言,Chrome 101 版本并没有十分特别,甚至可以说有点乏善可陈。 事实上,Google 在该版本中还引入了两

2024-07-11

Go (Golang) 是 Google 开发的一种编译型、并发型,并具有垃圾回收功能的编程语言,于 2009 年 11 月正式宣布推出成为开源项目,2012 年发布 1.0 版本。 如今,谷歌仍在继续投资该语言,最新的稳定版本是 1.22.5。在最新的 TIOBE 7 月