谷歌安全软件供应链的突破性框架

安全 应用安全
GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中,该图形数据库映射出软件之间的关系,帮助组织确定一个软件如何影响另一个软件。

谷歌周三宣布了0.1 Beta 版本的GUAC(Graph for Understanding Artifact Composition 的缩写),供组织保护其软件供应链。

为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。

了解工件构成图 (GUAC) 为您提供了对软件供应链安全状况的有条理且可操作的见解。GUAC 吸收软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。使用 GUAC,您可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助。

GUAC 如何运作

图片

GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中,该图形数据库映射出软件之间的关系,帮助组织确定一个软件如何影响另一个软件。

“用于理解工件组成的图表 ( GUAC ) 为您提供了对软件供应链安全位置的有条理和可操作的见解,”谷歌在其文档中说。

图片

“GUAC 摄取软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。”

换句话说,它旨在将软件材料清单 (SBOM) 文档、SLSA 证明、OSV 漏洞源、deps.dev 见解和公司的内部私有元数据汇集在一起,以帮助更好地描绘风险概况并可视化关系在工件、包和存储库之间。

有了这样的设置,目标是应对备受瞩目的供应链攻击,制定补丁计划,并迅速应对安全威胁。

“例如,GUAC 可用于证明构建器受到损害(例如,通过凭据泄漏或恶意软件的摄入),然后查询受影响的工件,”谷歌说。

“这使 [首席信息安全官] 能够轻松制定政策,禁止使用爆炸半径内的任何软件。”

责任编辑:武晓燕 来源: 河南等级保护测评
相关推荐

2021-06-18 14:36:39

Google软件供应链安全框架

2023-02-23 07:52:20

2022-03-10 08:16:14

Kubernetes软件供应链

2016-09-08 19:01:07

Docker内网安全软件供应链

2020-10-10 07:00:00

软件供应链软件开发

2023-01-12 11:15:58

2018-05-29 15:24:00

2022-01-19 13:32:58

软件供应链安全网络安全网络攻击

2024-10-14 14:49:59

2021-06-04 10:05:59

供应链安全

2022-11-11 09:12:45

2022-11-10 10:54:24

2023-10-30 14:33:27

2023-03-09 12:33:46

2021-06-22 09:16:56

GoogleSLSA端到端

2022-11-18 15:36:02

2022-06-02 10:23:44

供应链安全工具

2009-10-28 18:10:47

TippingPoin突破性网络安全平台

2022-07-08 09:02:07

云原生软件供应链

2023-11-20 10:26:12

点赞
收藏

51CTO技术栈公众号