軟體供應鍊安全是目前很多議程中的重中之重,自從Log4j漏洞被發現和美國關于網絡安全的行政指令下達以來更是如此。Google正在為一個新的開源項目尋求貢獻者,該項目名為GUAC(了解工件構成的圖形),雖然處于早期階段,但準備改變該行業對軟體供應鍊的了解方式。
GUAC的目的是為軟體建構、安全和依賴性中繼資料資訊提供充分可用性,讓每個組織都能免費獲得這些資訊,并對其有用,而不僅僅是那些擁有企業規模的安全和IT資金的組織。盡管各組織目前可以獲得軟體材料清單、漏洞資料庫和其他資訊來源,但很難将這些資訊結合起來并加以綜合,以獲得一個更全面的觀點。
Google與Kusari、普渡大學和花旗銀行合作建立了GUAC,這是一個免費的工具,可以将許多不同來源的軟體安全中繼資料結合起來。GUAC有四個關鍵功能。
收集 -- GUAC可以被配置為連接配接到各種軟體安全中繼資料的來源。一些來源可能是公開的和公共的(如OSV);一些可能是第一方的(如一個組織的内部存儲庫);一些可能是專有的第三方的(如來自資料供應商)。
攝取 -- GUAC從其上遊資料源導入關于工件、項目、資源、漏洞、存儲庫甚至開發者的資料。
整理 -- 從不同的上遊資料源攝取原始中繼資料後,GUAC通過規範實體辨別符、周遊依賴樹和重新确定隐含的實體關系,将其組合成一個連貫的圖譜。
查詢 -- 對照組裝好的圖譜,使用者可以查詢附屬于圖中實體或與之相關的中繼資料。查詢一個給定的工件可以傳回它的SBOM、出處、建構鍊、項目記分卡、漏洞和最近的生命周期事件--以及那些與之相關的依賴關系。
你可以在GitHub上找到更多關于這個項目的資訊并參與進來,GUAC團隊也将在下周的Kubecon NA 2022上展示這個項目:
https://github.com/guacsec/guac