发布于2022年10月21日3年前 谷歌周四宣布,它正在为一项名为Graph for Understanding Artifact Composition(也称为 GUAC)的新开源计划寻找贡献者,作为其加强软件供应链的持续努力的一部分。 谷歌的 Brandon Lum、Mihai Maruseac 和 Isaac Hepworth在与 The Hacker News 分享的一篇文章中表示: “GUAC 解决了整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。” “GUAC 旨在通过让每个组织(而不仅仅是拥有企业级安全和 IT 资金的组织)自由访问和有用,从而使这些安全信息的可用性民主化。” 软件供应链已成为威胁行为者有利可图的 攻击媒介,其中仅利用一个弱点(如SolarWinds和Log4Shell的案例所示)打开了一条足够长的路径,以遍历供应链并窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。 谷歌去年发布了一个名为SLSA(Supply chain Levels for Software Artifacts 的缩写)的框架,旨在确保软件包的完整性并防止未经授权的修改。 它还推出了安全记分卡的更新版本,该版本识别了第三方依赖项可能给项目带来的风险,允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。 去年8 月,谷歌进一步推出了一个漏洞赏金计划,以识别跨多个项目的安全漏洞,例如 Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。 GUAC 是该公司为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”来实现这一点,该“知识图”可以回答有关供应链风险的问题。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。 “查询此图表可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助,”谷歌表示。 换句话说,这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。 因此,其目的不仅是使组织能够确定它们是否受到特定漏洞的影响,而且还可以估计供应链受到损害时的爆炸半径。 也就是说,谷歌似乎也意识到可能破坏 GUAC 的潜在威胁,包括系统被诱骗获取有关工件及其元数据的伪造信息的情况,它希望通过数据文档的加密验证来缓解这种情况。 “[GUAC] 旨在满足作为公共供应链和安全文件的监视器以及组织内部使用以查询有关他们使用的工件的信息的用例,”这家互联网巨头指出。
