软件供应链安全是目前很多议程中的重中之重,自从Log4j漏洞被发现和美国关于网络安全的行政命令下达以来更是如此。Google正在为一个新的开源项目寻求贡献者,该项目名为GUAC(理解工件构成的图形),虽然处于早期阶段,但准备改变该行业对软件供应链的理解方式。
GUAC的目的是为软件构建、安全和依赖性元数据信息提供充分可用性,让每个组织都能免费获得这些信息,并对其有用,而不仅仅是那些拥有企业规模的安全和IT资金的组织。尽管各组织目前可以获得软件材料清单、漏洞数据库和其他信息来源,但很难将这些信息结合起来并加以综合,以获得一个更全面的观点。
Google与Kusari、普渡大学和花旗银行合作创建了GUAC,这是一个免费的工具,可以将许多不同来源的软件安全元数据结合起来。GUAC有四个关键功能。
收集 -- GUAC可以被配置为连接到各种软件安全元数据的来源。一些来源可能是公开的和公共的(如OSV);一些可能是第一方的(如一个组织的内部存储库);一些可能是专有的第三方的(如来自数据供应商)。
摄取 -- GUAC从其上游数据源导入关于工件、项目、资源、漏洞、存储库甚至开发者的数据。
整理 -- 从不同的上游数据源摄取原始元数据后,GUAC通过规范实体标识符、遍历依赖树和重新确定隐含的实体关系,将其组合成一个连贯的图谱。
查询 -- 对照组装好的图谱,用户可以查询附属于图中实体或与之相关的元数据。查询一个给定的工件可以返回它的SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件--以及那些与之相关的依赖关系。
你可以在GitHub上找到更多关于这个项目的信息并参与进来,GUAC团队也将在下周的Kubecon NA 2022上展示这个项目: