写点什么

谷歌发布 GUAC 项目 0.1 版本:持续关注供应链安全问题

  • 2023-08-22
    北京
  • 本文字数:1048 字

    阅读完需:约 3 分钟

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题

谷歌开源安全团队最近推出了 GUAC(Graph for Understanding Artifact)v0.1,这是一款面向安全专业人员的工具。GUAC 专注于元数据的合成和聚合,可以满足美国网络安全行政令中所概述的安全性要求,旨在帮助安全专家评估供应链的安全态势。


谷歌开源安全团队的Brandon LumMihai Maruseac在一篇博文中宣布推出该工具。GUAC 意识到整合来自各种数据源的信息的重要性,因此,他们聚合软件安全元数据,并将其与适用于软件供应链的标准化概念库对齐。


随着供应链每天都在发生变化,GUAC 通过从外部数据源获取最新的威胁信息和分析结果来持续更新其数据库。这些数据源包括软件材料清单(SBOM)、软件工件供应链级别(SLSA)和 OSS 见解。



来源:GUAC文档


通过研究企业对Log4shell的反应,我们发现,维护统一的 SBOM 存储库对组织是有利的。这种方法使得他们能够跟踪漏洞并相应地制定应对策略。为了遵循美国网络安全行政令,在构建和发布工作流程中生成大量 SBOM 会让管理任务变得繁杂。为了解决这个问题,GUAC 通过链接文档和使用启发式方法来提高数据质量。GUAC 社区正在与SPDX积极合作来推进SBOM工具的开发工作以及提高元数据的准确性。


CloudNativeSecurityCon 2023的一场小组讨论中,GUAC 被认为是一种可以理解、利用和从 SBOM 中派生含义的有价值的工具。讨论还强调了目前还没有标准的 SBOM 分发方法,所以有通过自动化来实现分发的潜力。


Lum 和 Maruseac 强调,GUAC 用户有能力开发集成方式,基于信任来制定策略,对安全漏洞做出及时响应,并在发生安全事件时制定升级计划。此外,他们可以构建 CLI 工具进行广泛的分析和事件响应,以及构建 IDE 插件进行预防性策略实施。


早期采用者对 GUAC 给予了积极的反馈。雅虎信息安全团队(Paranoids)高级软件开发工程经理Hemil Kadakia说:


“在雅虎,我们通过使用开源项目 GUAC 获得了巨大的价值和显著的效率提升。GUAC 帮助我们精简流程并提高效率,这在以前是不可能的。”


Red Hat 首席软件工程师Dejan Bosanac(同时也是 GUAC 项目的积极贡献者)说:  


“有了摄取和认证各种数据源数据的机制,以及查询这些数据的 GraphQL API,我们将其视为当前和未来 SSCS 工作的基础。作为一个真正的开源项目并拥有受欢迎的社区会是一种锦上添花。”


感兴趣的读者可以通过社区网页上提到的不同方式了解更多关于 GUAC 的信息。


原文链接

https://www.infoq.com/news/2023/07/google-announces-guac-0-1/


相关阅读:

供应链实践调查报告:可感知的实践有用性与采用程度相关

醒醒吧,没有什么安全的软件供应链

Log4j一周年观察:我们如何应对日益严峻的软件供应链安全风险?

2023-08-22 08:006527

评论

发布
暂无评论
发现更多内容

排查dubbo接口重复注销问题,我发现了一个巧妙的设计

捉虫大师

dubbo

最新、最全、最详细的 Git 学习笔记总结(2021最新版)

民工哥

后端 Git Submodule linux运维 代码管理

面向软件 IT 专业的高校大学生课余时间自学情况调查

xiezhr

大学生日常 IT 高校学院 问卷调查

如何从 0 到 1 开发 PyFlink API 作业

Apache Flink

flink pyflink python 3.5+

ArrayList 与 LinkedList 底层结构

Kori Lin

Java

智能小车系列-串口设置

波叽波叽啵😮一口盐汽水喷死你

串口 树莓派串口 ttyAMA0

C盘内存杀手,原来是这款出人意料的被闲置的软件|iTunes

彭宏豪95

效率 工具 4月日更 iTunes

Jcenter 停止服务,说一说我们的迁移方案

Antway

android maven Gradle

特斯拉行车数据被篡改?专家称车企很难自证清白,保留“数据指纹”的区块链技术在路上

CECBC

指纹

浪潮云再次入围央采2021年云计算服务采购名单

云计算

LeetCode题解:151. 翻转字符串里的单词,栈,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

SCA工具:开源安全威胁一手掌控

华为云开发者联盟

开源 安全 测试 SCA 软件成分分析

百度智能云成中国跳水队独家AI合作伙伴圆梦东京!

百度大脑

百度智能云

被遗弃的 Vector 和 Stack

Kori Lin

Java

Kubernetes入门——Kubernetes实现应用的高可用

百度开发者中心

Kubernetes k8s入门 #技术课程#

如何通过openLooKeng更高效访问HBase?

openLooKeng

Java 大数据 Bigdata MySQL 高可用

微信小程序登录流程详解

frank-say

智能小车系列-动力系统(ezPWM)

波叽波叽啵😮一口盐汽水喷死你

pwm ezPWM PWM信号

UT之最后一测

好好学习,天天向上

云信技术系列课 | RTC 系统音频弱网对抗技术发展与实践

网易云信

WebRTC 音频

生命中的无奈

小天同学

读书 读后感 生命 4月日更

2021高校IT专业大学生就业意向调查问卷

黑马腾云

Linux 上 定时备份postgresql 数据库

Yang

数据库 postgresql

IT 专业高校大学生就业方向状况调查问卷

架构精进之路

调查报告 4月日更 InfoQ 写作平台 1 周年

赋能制造产业智能化转型 百度大脑开放日福州解密

百度大脑

百度大脑 开放日 智能化

容器 & 服务: 扩容(二)

程序员架构进阶

Kubernetes 28天写作 弹性扩容 4月日更

音视频编解码--编码参数CRF

Fenngton

ffmpeg 视频编解码 视频压缩 码率控制 CRF

软件 IT 专业的高校学生有关在线课程的问卷调查

程序员历小冰

【XXX高校】软件IT专业学生(恋爱观)调查问卷

洛神灬殇

调查报告 大学生 恋爱

获取chrome80谷歌浏览器存储的指定网站Cookie数据方法详解

老猿Python

Python chrome 爬虫 Cookie

基于Kubernetes Operator的网易数帆生产级云原生中间件实践

网易数帆

架构 Kubernetes 云原生 operator 中间件

谷歌发布GUAC项目0.1版本:持续关注供应链安全问题_安全_Aditya Kulkarni_InfoQ精选文章