谷歌推出Guac开源项目来保障软件供应链的安全

谷歌( Google )周四宣布，它正在寻找一个名为”了解文物组成的图形”的新的开源举措的贡献者，也被称为” GUAC “，作为其加强软件供应链的一部分。

谷歌的Brandon Lum、Mihai Maruseac和Isaac赫普沃思在与The Hacker News分享的帖子中说，GUAC解决了整个生态系统在生成软件构建、安全和依赖元数据方面迅速发展的需求。

  ” GUAC的目的是使这种安全信息的可用性民主化，使其对每个组织都是免费的和有用的，而不仅仅是那些拥有企业规模的安全和信息技术资金的组织”。

软件供应链已经出现了一个有利可图的威胁攻击者的攻击向量，其中利用一个弱点- -正如在SolarWinds和Log4Shell的案例中所看到的那样——打开了一条足够长的路径来遍历供应链并窃取敏感数据、种植恶意软件和控制属于下游客户的系统。

谷歌去年发布了一个名为SLSA (英文全称为Supply Chain Levels for Software Artifacts)的框架，旨在确保软件包的完整性，防止未经授权的修改。

它还推出了一个更新版本的安全记分卡，该记分卡确定了第三方依赖可能给项目带来的风险，使开发人员能够就接受易受攻击的代码或考虑其他备选方案做出明智的决定。

今年8月，谷歌进一步推出了bug赏金计划，以识别跨越Angular、Bazel、Golang、Protocol Buffers和紫红色等多个项目的安全漏洞。

  GUAC是该公司加强供应链健康的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个”知识图”来实现这一目标，该知识图可以回答关于供应链风险的问题。

支撑该架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等，以获取漏洞、项目、资源、开发人员、工件和存储库之间有意义的关系。

谷歌说，查询这个图表可以推动更高层次的组织成果，如审计、政策、风险管理，甚至是开发人员援助。

换句话说，这个想法是将项目和开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点连接起来。

因此，其目的不仅是使组织能够确定是否受到特定脆弱性的影响，而且还可以估计供应链受到损害时的爆炸半径。

尽管如此，谷歌似乎也意识到了可能破坏GUAC的潜在威胁，包括系统被诱骗摄取关于工件及其元数据的伪造信息的场景，它希望通过对数据文档的加密验证来减轻这些威胁。

互联网巨头指出，” [ GUAC ]的目的是满足公众供应链和安全文件的监控，以及各组织内部使用的信息，以查询他们使用的文物信息。“