Redian新闻
>
谷歌发布 GUAC 项目 0.1 版本:持续关注供应链安全问题

谷歌发布 GUAC 项目 0.1 版本:持续关注供应链安全问题

科技

作者 | Aditya Kulkarni
译者 | 明知山
策划 | 丁晓昀

谷歌开源安全团队最近推出了 GUAC(Graph for Understanding Artifact)v0.1,这是一款面向安全专业人员的工具。GUAC 专注于元数据的合成和聚合,可以满足美国网络安全行政令 中所概述的安全性要求,旨在帮助安全专家评估供应链的安全态势。

谷歌开源安全团队的 Brandon Lum 和 Mihai Maruseac 在一篇 博文 中宣布推出该工具。GUAC 意识到整合来自各种数据源的信息的重要性,因此,他们聚合软件安全元数据,并将其与适用于软件供应链的标准化概念库对齐。

随着供应链每天都在发生变化,GUAC 通过从外部数据源获取最新的威胁信息和分析结果来持续更新其数据库。这些数据源包括软件材料清单(SBOM)、软件工件供应链级别(SLSA)和 OSS 见解。

来源:GUAC 文档

通过研究企业对 Log4shell 的反应,我们发现,维护统一的 SBOM 存储库对组织是有利的。这种方法使得他们能够跟踪漏洞并相应地制定应对策略。为了遵循美国网络安全行政令,在构建和发布工作流程中生成大量 SBOM 会让管理任务变得繁杂。为了解决这个问题,GUAC 通过链接文档和使用启发式方法来提高数据质量。GUAC 社区正在与 SPDX 积极合作来推进 SBOM 工具的开发工作以及提高元数据的准确性。

在 CloudNativeSecurityCon 2023 的一场小组讨论中,GUAC 被认为是一种可以理解、利用和从 SBOM 中派生含义的有价值的工具。讨论还强调了目前还没有标准的 SBOM 分发方法,所以有通过自动化来实现分发的潜力。

Lum 和 Maruseac 强调,GUAC 用户有能力开发集成方式,基于信任来制定策略,对安全漏洞做出及时响应,并在发生安全事件时制定升级计划。此外,他们可以构建 CLI 工具进行广泛的分析和事件响应,以及构建 IDE 插件进行预防性策略实施。

早期采用者对 GUAC 给予了积极的反馈。雅虎信息安全团队(Paranoids)高级软件开发工程经理 Hemil Kadakia 说:

“在雅虎,我们通过使用开源项目 GUAC 获得了巨大的价值和显著的效率提升。GUAC 帮助我们精简流程并提高效率,这在以前是不可能的。”

Red Hat 首席软件工程师 Dejan Bosanac(同时也是 GUAC 项目的积极贡献者)说:

“有了摄取和认证各种数据源数据的机制,以及查询这些数据的 GraphQL API,我们将其视为当前和未来 SSCS 工作的基础。作为一个真正的开源项目并拥有受欢迎的社区会是一种锦上添花。”

感兴趣的读者可以通过社区网页上提到的不同方式了解更多关于 GUAC 的信息。

原文链接

https://www.infoq.com/news/2023/07/google-announces-guac-0-1/

相关阅读:

供应链实践调查报告:可感知的实践有用性与采用程度相关 (https://www.infoq.cn/article/9boH3zd1jDZdR244gPhE )

醒醒吧,没有什么安全的软件供应链 (https://www.infoq.cn/article/Wv6MjUH5FmrRQPmphIbh )

Log4j 一周年观察:我们如何应对日益严峻的软件供应链安全风险?(https://www.infoq.cn/article/WMs7uoxvNLc1J5qBMtoR )

声明:本文为 InfoQ 翻译,未经许可禁止转载。

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

AIGC 是来颠覆还是加入低代码的?

首次公开收购!OpenAI 选择这家成立2年的8人团队做什么?

用 Rust 编写核心组件!独家揭露阿里云开源 GraphScope 如何成为全球最快图计算引擎

中国46岁程序员拒写赌博程序遭拔14颗牙;小红书被疑“偷”原画师作品喂自家大模型;全面停止服务,俄遇“微软危机”|Q资讯

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
「知识型图像问答」微调也没用?谷歌发布搜索系统AVIS:少样本超越有监督PALI,准确率提升三倍2023 樱花之约(五)雨中涉成园海银控股CTO朱桦:持续加大数字化投入 通过不断积累的技术能力赋能业务发展MySQL 调整版本控制模型,发布首个创新版本 8.1.0真能听懂人话!机器人ChatGPT来了,谷歌发布又一AI大模型黑科技这件事,已被大学生持续关注了 5 年……漏洞产生快于识别修复,开发者要如何预防安全问题?为什么华盛顿州的汽油价格全美最高?西雅图市政府希望通过MLB全明星赛挣钱,游客关心的却是安全问题迷笛音乐节物品失窃,演出市场回暖后安全问题引关注谷歌发布 Hive-BigQuery 开源连接器有毒糖浆造成全球三百儿童死亡!WHO警告:持续在全球构成威胁谷歌发布 Hive-BigQuery 开源连接器,加强跨平台数据集成能力清华校友立功!谷歌发布首个全科医疗大模型,14项任务SOTA谷歌发现大模型「领悟」现象!训练久了突然不再死记硬背,多么痛的领悟江西五十铃:持续蜕变,看见品牌力量|内训案例给AI生成图像「加水印」,谷歌发布识别工具SynthID比亚迪或搁置印度建厂计划,16家网约车平台被约谈,推特无法在苹果应用商店改名X,谷歌发布新AI机器人模型这就是今天的其他大新闻!上百“骑友”夜间骑行火出圈,安全问题引关注过程重要还是结果重要?作家萨尔曼·鲁西迪近况:持续受到梦境困扰,正写作遇刺经历相关作品重磅!又一国家官宣:中国护照免签5个月!曾是华人最爱的热门旅游国家,如今因“安全问题”旅游人数锐减...半导体:趋势、周期和供应链安全《月光下的诉说》&《你可听见我这颗心》推理效率比ControlNet高20+倍!谷歌发布MediaPipe Diffusion插件,「移动端」可用的图像生成控制模型谷歌发Android14和新手机,讲的却全是AI!预示着啥?季刚:持续推动“肿瘤胃肠病学”理念,让肿瘤患者活得长活得好代码效率翻倍,谷歌发布多平台应用开发神器!斯元商业咨询:网络安全科技供应链报告-厂商成分分析及国产化替代指南(2023版)给机器下「遗忘咒」?谷歌发起首个机器遗忘挑战赛在微信上和朋友打坐英特尔业绩前瞻:持续逆风之下,芯片巨头能否卷土重来?Debian 12.1 发布,修复系统用户创建等多个安全问题都在摆摊!5娃无证妈背着婴儿卖东西 市民担忧安全问题 呼吁“管一管”既然永不相见,何不一拍两散 ?13所英国大学部分关闭:因为安全问题!超市将伏特加分类为“学生必需品”!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。