写点什么

谷歌发布 GUAC 项目 0.1 版本:持续关注供应链安全问题

  • 2023-08-22
    北京
  • 本文字数:1048 字

    阅读完需:约 3 分钟

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题

谷歌开源安全团队最近推出了 GUAC(Graph for Understanding Artifact)v0.1,这是一款面向安全专业人员的工具。GUAC 专注于元数据的合成和聚合,可以满足美国网络安全行政令中所概述的安全性要求,旨在帮助安全专家评估供应链的安全态势。


谷歌开源安全团队的Brandon LumMihai Maruseac在一篇博文中宣布推出该工具。GUAC 意识到整合来自各种数据源的信息的重要性,因此,他们聚合软件安全元数据,并将其与适用于软件供应链的标准化概念库对齐。


随着供应链每天都在发生变化,GUAC 通过从外部数据源获取最新的威胁信息和分析结果来持续更新其数据库。这些数据源包括软件材料清单(SBOM)、软件工件供应链级别(SLSA)和 OSS 见解。



来源:GUAC文档


通过研究企业对Log4shell的反应,我们发现,维护统一的 SBOM 存储库对组织是有利的。这种方法使得他们能够跟踪漏洞并相应地制定应对策略。为了遵循美国网络安全行政令,在构建和发布工作流程中生成大量 SBOM 会让管理任务变得繁杂。为了解决这个问题,GUAC 通过链接文档和使用启发式方法来提高数据质量。GUAC 社区正在与SPDX积极合作来推进SBOM工具的开发工作以及提高元数据的准确性。


CloudNativeSecurityCon 2023的一场小组讨论中,GUAC 被认为是一种可以理解、利用和从 SBOM 中派生含义的有价值的工具。讨论还强调了目前还没有标准的 SBOM 分发方法,所以有通过自动化来实现分发的潜力。


Lum 和 Maruseac 强调,GUAC 用户有能力开发集成方式,基于信任来制定策略,对安全漏洞做出及时响应,并在发生安全事件时制定升级计划。此外,他们可以构建 CLI 工具进行广泛的分析和事件响应,以及构建 IDE 插件进行预防性策略实施。


早期采用者对 GUAC 给予了积极的反馈。雅虎信息安全团队(Paranoids)高级软件开发工程经理Hemil Kadakia说:


“在雅虎,我们通过使用开源项目 GUAC 获得了巨大的价值和显著的效率提升。GUAC 帮助我们精简流程并提高效率,这在以前是不可能的。”


Red Hat 首席软件工程师Dejan Bosanac(同时也是 GUAC 项目的积极贡献者)说:  


“有了摄取和认证各种数据源数据的机制,以及查询这些数据的 GraphQL API,我们将其视为当前和未来 SSCS 工作的基础。作为一个真正的开源项目并拥有受欢迎的社区会是一种锦上添花。”


感兴趣的读者可以通过社区网页上提到的不同方式了解更多关于 GUAC 的信息。


原文链接

https://www.infoq.com/news/2023/07/google-announces-guac-0-1/


相关阅读:

供应链实践调查报告:可感知的实践有用性与采用程度相关

醒醒吧,没有什么安全的软件供应链

Log4j一周年观察:我们如何应对日益严峻的软件供应链安全风险?

2023-08-22 08:007537

评论

发布
暂无评论
发现更多内容

唯品会商品列表数据接口(Vip.item_search)丨唯品会API接口

tbapi

唯品会商品列表数据接口 关键词搜索唯品会接口 唯品会API接口 唯品会商品数据接口 唯品会商品API接口

支付宝 v3 自签名如何实现

盐焗代码虾

Java 支付宝 签名 加签

C 语言运算符详解

小万哥

c c++ 程序员 后端 软件开发

诚邀报名|来开源项目维护者论坛,为项目可持续发展贡献您的声音

开放原子开源基金会

开源

诚邀报名|与你同行——开源教育晨雾中的早行者

开放原子开源基金会

开源

5G和云渲染将如何快速推进XR和元宇宙?

3DCAT实时渲染

云渲染 元宇宙解决方案

华为终于开奖了,结果有点可笑

Jackpop

[译]优秀的URL设计

南城FE

前端 后端 url

诚邀报名|探寻AI融合的前端开发之道:解除焦虑,构建核心竞争力

开放原子开源基金会

开源

开源时代:极狐GitLab如何保证软件供应链安全

极狐GitLab

Wi-Fi 6 vs. Wi-Fi 6E: The differences between IPQ6018, IPQ6010 and IPQ5018

wallysSK

杭州悦数成立「悦数图技术陆家嘴数据智能研究院」,入驻上海陆家嘴金融城「双城辉映」平台

最新动态

web3钱包进阶!从入门到精通,Bitget实现逆袭

股市老人

使用 Taro 开发鸿蒙原生应用 —— 探秘适配鸿蒙 ArkTS 的工作原理 | 京东云技术团队

京东科技开发者

倒计时3天|开源开发者的技术年末盛典即将开启

开放原子开源基金会

开源

软件开发

Geek_8da502

用JS实现简单的屏幕录像机 | 京东云技术团队

京东科技开发者

JavaScript 前端 屏幕录制

#issue 111538 MySQL 8.0 instant add/drop column 性能回退问题

ba0tiao

MySQL InnoDB

vivo 容器平台资源运营实践

vivo互联网技术

容器平台 资源运营 利用率提升

顶级加密混淆混淆工具测评:ipagurd

TDengine 创始人陶建辉出席 CIAS 2023 年会,为新能源汽车数据处理带来新思路

TDengine

tdengine 时序数据库

现代 CPU 技术发展 | 京东云技术团队

京东科技开发者

软件开发 cpu 性能提升

即时通讯技术文集(第28期):IM开发技术合集(Part1) [共18篇]

JackJiang

网络编程 即时通讯 IM

强大的数据库管理:Valentina Studio Pro终端激活版最新

胖墩儿不胖y

Mac软件 数据库软件 Mac管理数据库

如何写好Prompt,让GPT 的回答更加精准

Bob Lin

人工智能 openai ChatGPT GPT-4 langchain

宏 | AI工程化部署

AIWeker

c AI AI工程化部署

脉脉宣布全员下调,华为莫名奇妙躺枪。。。

Jackpop

centos 7.6安装sealos和单机集群

麦兜

一起学Elasticsearch系列-深度分页问题

Java随想录

Java 大数据 elastic

全球知名的五款JavaScript混淆加密工具详解

雪奈椰子

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题_安全_Aditya Kulkarni_InfoQ精选文章