QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

谷歌发布 GUAC 项目 0.1 版本:持续关注供应链安全问题

  • 2023-08-22
    北京
  • 本文字数:1048 字

    阅读完需:约 3 分钟

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题

谷歌开源安全团队最近推出了 GUAC(Graph for Understanding Artifact)v0.1,这是一款面向安全专业人员的工具。GUAC 专注于元数据的合成和聚合,可以满足美国网络安全行政令中所概述的安全性要求,旨在帮助安全专家评估供应链的安全态势。


谷歌开源安全团队的Brandon LumMihai Maruseac在一篇博文中宣布推出该工具。GUAC 意识到整合来自各种数据源的信息的重要性,因此,他们聚合软件安全元数据,并将其与适用于软件供应链的标准化概念库对齐。


随着供应链每天都在发生变化,GUAC 通过从外部数据源获取最新的威胁信息和分析结果来持续更新其数据库。这些数据源包括软件材料清单(SBOM)、软件工件供应链级别(SLSA)和 OSS 见解。



来源:GUAC文档


通过研究企业对Log4shell的反应,我们发现,维护统一的 SBOM 存储库对组织是有利的。这种方法使得他们能够跟踪漏洞并相应地制定应对策略。为了遵循美国网络安全行政令,在构建和发布工作流程中生成大量 SBOM 会让管理任务变得繁杂。为了解决这个问题,GUAC 通过链接文档和使用启发式方法来提高数据质量。GUAC 社区正在与SPDX积极合作来推进SBOM工具的开发工作以及提高元数据的准确性。


CloudNativeSecurityCon 2023的一场小组讨论中,GUAC 被认为是一种可以理解、利用和从 SBOM 中派生含义的有价值的工具。讨论还强调了目前还没有标准的 SBOM 分发方法,所以有通过自动化来实现分发的潜力。


Lum 和 Maruseac 强调,GUAC 用户有能力开发集成方式,基于信任来制定策略,对安全漏洞做出及时响应,并在发生安全事件时制定升级计划。此外,他们可以构建 CLI 工具进行广泛的分析和事件响应,以及构建 IDE 插件进行预防性策略实施。


早期采用者对 GUAC 给予了积极的反馈。雅虎信息安全团队(Paranoids)高级软件开发工程经理Hemil Kadakia说:


“在雅虎,我们通过使用开源项目 GUAC 获得了巨大的价值和显著的效率提升。GUAC 帮助我们精简流程并提高效率,这在以前是不可能的。”


Red Hat 首席软件工程师Dejan Bosanac(同时也是 GUAC 项目的积极贡献者)说:  


“有了摄取和认证各种数据源数据的机制,以及查询这些数据的 GraphQL API,我们将其视为当前和未来 SSCS 工作的基础。作为一个真正的开源项目并拥有受欢迎的社区会是一种锦上添花。”


感兴趣的读者可以通过社区网页上提到的不同方式了解更多关于 GUAC 的信息。


原文链接

https://www.infoq.com/news/2023/07/google-announces-guac-0-1/


相关阅读:

供应链实践调查报告:可感知的实践有用性与采用程度相关

醒醒吧,没有什么安全的软件供应链

Log4j一周年观察:我们如何应对日益严峻的软件供应链安全风险?

2023-08-22 08:007872

评论

发布
暂无评论
发现更多内容

linux中删除特殊文件

入门小站

Linux

5分钟了解SDN控制平面

穿过生命散发芬芳

SDN网络 6月月更

面试官:执行一条 SQL 语句,期间会发生什么?

Java全栈架构师

Java MySQL 数据库 程序员 面试

跨平台方案的比较

Geek_99967b

小程序 小程序容器

leetcode 51. N-Queens N 皇后(困难)

okokabcd

LeetCode 搜索 算法与数据结构

Disruptor 高性能堆内队列 系列一

Nick

Java Disruptor 队列 高性能 6月月更

企业网站如何快速被搜索引擎收录

源字节1号

scp 高效操作之避免 zsh 路径展开

Nick

Linux zsh 6月月更 高效操作 scp

如何写好技术博客

卢卡多多

技术 博客 6月月更

Hexo + Github从零搭建个人博客

梁歪歪 ♚

Hexo 博客搭建

使用IDE并不是懒癌表现

Geek_99967b

小程序 小程序容器

理解 Java 中的 NumberFormatException 异常

HoneyMoose

让开发效率飞速提升的跨端开发神器

Geek_99967b

小程序 小程序容器

红利、辛苦钱、利润和工资【读书笔记】

FunTester

InfoQ 极客传媒 15 周年庆征文|聊聊 Kafka:Kafka 如何保证一致性

老周聊架构

kafka 架构 云原生 6月月更 InfoQ极客传媒15周年庆

在线JADE转HTML工具

入门小站

工具

数据库每日一题---第4天:从不订购的客户

知心宝贝

数据库 程序员 前端 后端 6月月更

阿里6月终于有HC了!耗时两月足足面试13轮成功入职阿里!拿到32*15Offer

Java全栈架构师

Java spring 程序员 面试 程序人生

过去一周区块链热点回顾|BAYC项目具有被无限铸币的风险

区块链前沿News

Hoo

大家的 Hexo 博客都还好吗?

jrwng

Hexo

数据类型

Jason199

js 数据类型 6月月更

在线文本右边批量删除字符工具

入门小站

工具

Flutter的整体架构

Geek_99967b

小程序 小程序容器

Flutter 利用 Redux 中间件完成购物清单离线存储

岛上码农

flutter ios 前端 安卓开发 6月月更

华为云AppCube带你5分钟开发微信小程序

乌龟哥哥

6月月更

互联网电商项目天花板,从立项到交付快速落地,真正帮你解决大型互联网项目经验欠缺的短板

Java全栈架构师

程序员 面试 项目 架构设计 程序员进阶

运维服务体系构建

阿泽🧸

运维体系 6月月更

每日一题 | LeetCode 1 两数之和

武师叔

Python 算法 JAV A Leet Code 6月月更

LabVIEW控制Arduino采集热电偶温度数值(进阶篇—2)

不脱发的程序猿

单片机 LabVIEW Arduino VISA 采集热电偶温度数值

答应我:监听日志文件变化的这三种方法你一定要会!推荐第三种!

Java全栈架构师

Java 程序员 面试 IDEA 代码人生

this和super的用法与区别

写代码两年半

继承 super javase this 6月月更

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题_安全_Aditya Kulkarni_InfoQ精选文章