谷歌周三宣布了0.1 Beta 版本的GUAC（Graph for Understanding Artifact Composition 的縮寫(xiě)），供組織保護(hù)其軟件供應(yīng)鏈。

為此，這家搜索巨頭將開(kāi)源框架作為 API 提供給開(kāi)發(fā)人員，以集成他們自己的工具和策略引擎。

了解工件構(gòu)成圖 (GUAC) 為您提供了對(duì)軟件供應(yīng)鏈安全狀況的有條理且可操作的見(jiàn)解。GUAC 吸收軟件安全元數(shù)據(jù)，如 SBOM，并繪制出軟件之間的關(guān)系，以便您可以充分了解您的軟件安全位置。使用 GUAC，您可以推動(dòng)更高級(jí)別的組織成果，例如審計(jì)、政策、風(fēng)險(xiǎn)管理，甚至開(kāi)發(fā)人員協(xié)助。

GUAC 如何運(yùn)作

GUAC旨在將來(lái)自不同來(lái)源的軟件安全元數(shù)據(jù)聚合到一個(gè)圖形數(shù)據(jù)庫(kù)中，該圖形數(shù)據(jù)庫(kù)映射出軟件之間的關(guān)系，幫助組織確定一個(gè)軟件如何影響另一個(gè)軟件。

“用于理解工件組成的圖表 ( GUAC ) 為您提供了對(duì)軟件供應(yīng)鏈安全位置的有條理和可操作的見(jiàn)解，”谷歌在其文檔中說(shuō)。

“GUAC 攝取軟件安全元數(shù)據(jù)，如 SBOM，并繪制出軟件之間的關(guān)系，以便您可以充分了解您的軟件安全位置?！?/p>

換句話說(shuō)，它旨在將軟件材料清單 (SBOM) 文檔、SLSA 證明、OSV 漏洞源、deps.dev 見(jiàn)解和公司的內(nèi)部私有元數(shù)據(jù)匯集在一起，以幫助更好地描繪風(fēng)險(xiǎn)概況并可視化關(guān)系在工件、包和存儲(chǔ)庫(kù)之間。

有了這樣的設(shè)置，目標(biāo)是應(yīng)對(duì)備受矚目的供應(yīng)鏈攻擊，制定補(bǔ)丁計(jì)劃，并迅速應(yīng)對(duì)安全威脅。

“例如，GUAC 可用于證明構(gòu)建器受到損害（例如，通過(guò)憑據(jù)泄漏或惡意軟件的攝入），然后查詢受影響的工件，”谷歌說(shuō)。

“這使 [首席信息安全官] 能夠輕松制定政策，禁止使用爆炸半徑內(nèi)的任何軟件。”