《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 為強(qiáng)化軟件供應(yīng)鏈安全,,谷歌啟動GUAC開源項(xiàng)目

為強(qiáng)化軟件供應(yīng)鏈安全,谷歌啟動GUAC開源項(xiàng)目

2022-10-25
來源:FreeBuf
關(guān)鍵詞: Google 供應(yīng)鏈 安全

10月20日,,Google宣布正在為名為Graph for Understanding Artifact Composition(GUAC)的開源項(xiàng)目尋找感興趣的貢獻(xiàn)者,,以此進(jìn)一步強(qiáng)化軟件供應(yīng)鏈安全

微信圖片_20221025102224.jpg

谷歌Brandon Lum,、Mihai Maruseac 和 Isaac Hepworth稱,,GUAC開源項(xiàng)目將可以解決整個生態(tài)系統(tǒng)中迅速發(fā)展的工作所產(chǎn)生的需求,以生成軟件構(gòu)建、安全和依賴元數(shù)據(jù),。GUAC旨在讓每個組織都可以只有訪問和調(diào)用這些信息,,正在發(fā)揮開源的共享和民主的特性。

當(dāng)下,,軟件供應(yīng)鏈安全已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一大重點(diǎn)因素,,攻擊者頻頻利用軟件供應(yīng)鏈中某個使用廣泛的弱點(diǎn),掀起令全球企業(yè)為之側(cè)目的網(wǎng)安大事件,。例如曾經(jīng)肆虐一時的SolarWinds事件和近期發(fā)生的Log4Shell漏洞事件,。

在這些供應(yīng)鏈安全事件中,攻擊中以一點(diǎn)為突破,,隨后沿著供應(yīng)鏈進(jìn)行入侵并大肆竊取敏感數(shù)據(jù),、植入惡意軟件、并控制屬于下游客戶的系統(tǒng),。

谷歌多手段強(qiáng)化供應(yīng)鏈安全

在啟動GUAC開源項(xiàng)目之前,,谷歌在供應(yīng)鏈安全方面已經(jīng)有了多個動作。

微信圖片_20221025102233.jpg

2021年,,谷歌發(fā)布了一個名為Supply chain Levels for Software Artifacts(SLSA)的框架,,旨在確保軟件包的完整性并防止未經(jīng)授權(quán)的修改。此外它還推出了安全記分卡的更新版本,,該版本識別了第三方依賴項(xiàng)可能給項(xiàng)目帶來的風(fēng)險,允許開發(fā)人員就接受易受攻擊的代碼或考慮其他替代方案做出明智的決定,。

微信圖片_20221025102236.jpg

2021年8月,,谷歌進(jìn)一步推出軟件供應(yīng)鏈漏洞賞金計劃,以識別橫跨多個項(xiàng)目的安全漏洞,,其中包括赫赫有名的Angular,、Bazel、Golang,、Protocol Buffers 和 Fuchsia,。

GUAC 是谷歌為加強(qiáng)供應(yīng)鏈健康所做的最新努力。它通過將來自公共和私人來源的軟件安全元數(shù)據(jù)聚合成一個“知識圖”,,并以此回答有關(guān)供應(yīng)鏈風(fēng)險的問題,。支撐此架構(gòu)的數(shù)據(jù)來自Sigstore、GitHub,、開源漏洞( OSV ),、Grype和Trivy等,以在漏洞,、項(xiàng)目,、資源、開發(fā)人員、工件和存儲庫之間建立有意義的關(guān)系,。

谷歌公開表示,,查詢知識圖可以推動更高級別的組織成果,例如審計,、政策,、風(fēng)險管理,甚至開發(fā)人員的協(xié)助,。換句話說,,這個想法是將項(xiàng)目與其開發(fā)人員、漏洞和相應(yīng)的軟件版本,、工件和它所屬的源存儲庫之間的不同點(diǎn)聯(lián)系起來,。

因此,其目的不僅使組織能夠確定它們是否受到特定漏洞的影響,,還可以估計供應(yīng)鏈?zhǔn)艿綋p害時的爆炸半徑,。換言之,谷歌已經(jīng)開始意識到可能破壞 GUAC 的潛在威脅,,包括系統(tǒng)被誘騙獲取有關(guān)工件,,及其元數(shù)據(jù)的偽造信息等,它希望通過數(shù)據(jù)文檔的加密驗(yàn)證來緩解這種威脅,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]