服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器知识 - 谷歌安全软件供应链的突破性框架

谷歌安全软件供应链的突破性框架

2023-05-28 06:00未知服务器之家 服务器知识

谷歌周三宣布了0.1 Beta 版本的GUAC(Graph for Understanding Artifact Composition 的缩写),供组织保护其软件供应链。 为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。 了解工件构成图 (GUAC) 为您

谷歌周三宣布了0.1 Beta 版本的GUAC(Graph for Understanding Artifact Composition 的缩写),供组织保护其软件供应链。

为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。

了解工件构成图 (GUAC) 为您提供了对软件供应链安全状况的有条理且可操作的见解。GUAC 吸收软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。使用 GUAC,您可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助。

GUAC 如何运作

谷歌安全软件供应链的突破性框架

GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中,该图形数据库映射出软件之间的关系,帮助组织确定一个软件如何影响另一个软件。

“用于理解工件组成的图表 (GUAC) 为您提供了对软件供应链安全位置的有条理和可操作的见解,”谷歌在其文档中说。

谷歌安全软件供应链的突破性框架

“GUAC 摄取软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。”

换句话说,它旨在将软件材料清单 (SBOM) 文档、SLSA 证明、OSV 漏洞源、deps.dev 见解和公司的内部私有元数据汇集在一起,以帮助更好地描绘风险概况并可视化关系在工件、包和存储库之间。

有了这样的设置,目标是应对备受瞩目的供应链攻击,制定补丁计划,并迅速应对安全威胁。

“例如,GUAC 可用于证明构建器受到损害(例如,通过凭据泄漏或恶意软件的摄入),然后查询受影响的工件,”谷歌说。

“这使 [首席信息安全官] 能够轻松制定政策,禁止使用爆炸半径内的任何软件。”

延伸 · 阅读

精彩推荐