谷歌安全软件供应链的谷歌供突破性框架

作者：铸盾安全 2023-05-27 00:35:18安全 应用安全 GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中，该图形数据库映射出软件之间的安全关系，帮助组织确定一个软件如何影响另一个软件。软件

谷歌周三宣布了0.1 Beta 版本的突破GUAC（Graph for Understanding Artifact Composition 的缩写），供组织保护其软件供应链。性框

为此，谷歌供这家搜索巨头将开源框架作为 API 提供给开发人员，安全以集成他们自己的软件工具和策略引擎。

了解工件构成图 (GUAC) 为您提供了对软件供应链安全状况的突破有条理且可操作的见解。GUAC 吸收软件安全元数据，性框如 SBOM，谷歌供并绘制出软件之间的安全关系，以便您可以充分了解您的软件软件安全位置。使用 GUAC，突破您可以推动更高级别的性框组织成果，例如审计、政策、风险管理，甚至开发人员协助。

GUAC 如何运作

GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中，该图形数据库映射出软件之间的关系，帮助组织确定一个软件如何影响另一个软件。

“用于理解工件组成的图表 ( GUAC ) 为您提供了对软件供应链安全位置的有条理和可操作的见解，”谷歌在其文档中说。

“GUAC 摄取软件安全元数据，如 SBOM，并绘制出软件之间的关系，以便您可以充分了解您的软件安全位置。”

换句话说，它旨在将软件材料清单 (SBOM) 文档、SLSA 证明、OSV 漏洞源、deps.dev 见解和公司的内部私有元数据汇集在一起，以帮助更好地描绘风险概况并可视化关系在工件、包和存储库之间。

有了这样的设置，目标是应对备受瞩目的供应链攻击，制定补丁计划，并迅速应对安全威胁。

“例如，GUAC 可用于证明构建器受到损害（例如，通过凭据泄漏或恶意软件的摄入），然后查询受影响的工件，”谷歌说。

“这使 [首席信息安全官] 能够轻松制定政策，禁止使用爆炸半径内的任何软件。”

责任编辑：武晓燕 来源： 河南等级保护测评 谷歌安全软件

(责任编辑：知识)