軟件供應鏈安全是目前很多議程中的重中之重,自從Log4j漏洞被發現和美國關於網絡安全的行政命令下達以來更是如此。Google正在為一個新的開源項目尋求貢獻者,該項目名為GUAC(理解工件構成的圖形),雖然處於早期階段,但準備改變該行業對軟件供應鏈的理解方式。
GUAC的目的是為軟件構建、安全和依賴性元數據信息提供充分可用性,讓每個組織都能免費獲得這些信息,並對其有用,而不僅僅是那些擁有企業規模的安全和IT資金的組織。儘管各組織目前可以獲得軟件材料清單、漏洞數據庫和其他信息來源,但很難將這些信息結合起來並加以綜合,以獲得一個更全面的觀點。
Google與Kusari、普渡大學和花旗銀行合作創建了GUAC,這是一個免費的工具,可以將許多不同來源的軟件安全元數據結合起來。GUAC有四個關鍵功能。
收集 — GUAC可以被配置為連接到各種軟件安全元數據的來源。一些來源可能是公開的和公共的(如OSV);一些可能是第一方的(如一個組織的內部存儲庫);一些可能是專有的第三方的(如來自數據供應商)。
攝取 — GUAC從其上游數據源導入關於工件、項目、資源、漏洞、存儲庫甚至開發者的數據。
整理 — 從不同的上游數據源攝取原始元數據后,GUAC通過規範實體標識符、遍歷依賴樹和重新確定隱含的實體關係,將其組合成一個連貫的圖譜。
查詢 — 對照組裝好的圖譜,用戶可以查詢附屬於圖中實體或與之相關的元數據。查詢一個給定的工件可以返回它的SBOM、出處、構建鏈、項目記分卡、漏洞和最近的生命周期事件–以及那些與之相關的依賴關係。
你可以在GitHub上找到更多關於這個項目的信息並參與進來,GUAC團隊也將在下周的Kubecon NA 2022上展示這個項目:
https://github.com/guacsec/guac