10月20日,，Google宣布正在為名為Graph for Understanding Artifact Composition（GUAC）的開源項目尋找感興趣的貢獻者,，以此進一步強化軟件供應鏈安全,。

谷歌Brandon Lum,、Mihai Maruseac 和 Isaac Hepworth稱,，GUAC開源項目將可以解決整個生態(tài)系統(tǒng)中迅速發(fā)展的工作所產(chǎn)生的需求,，以生成軟件構建,、安全和依賴元數(shù)據(jù)。GUAC旨在讓每個組織都可以只有訪問和調(diào)用這些信息,，正在發(fā)揮開源的共享和民主的特性,。

當下，軟件供應鏈安全已成為網(wǎng)絡安全領域內(nèi)一大重點因素,，攻擊者頻頻利用軟件供應鏈中某個使用廣泛的弱點,，掀起令全球企業(yè)為之側目的網(wǎng)安大事件。例如曾經(jīng)肆虐一時的SolarWinds事件和近期發(fā)生的Log4Shell漏洞事件,。

在這些供應鏈安全事件中,，攻擊中以一點為突破，隨后沿著供應鏈進行入侵并大肆竊取敏感數(shù)據(jù),、植入惡意軟件,、并控制屬于下游客戶的系統(tǒng)。

谷歌多手段強化供應鏈安全

在啟動GUAC開源項目之前,，谷歌在供應鏈安全方面已經(jīng)有了多個動作,。

2021年，谷歌發(fā)布了一個名為Supply chain Levels for Software Artifacts（SLSA）的框架,，旨在確保軟件包的完整性并防止未經(jīng)授權的修改,。此外它還推出了安全記分卡的更新版本,，該版本識別了第三方依賴項可能給項目帶來的風險，允許開發(fā)人員就接受易受攻擊的代碼或考慮其他替代方案做出明智的決定,。

2021年8月,，谷歌進一步推出軟件供應鏈漏洞賞金計劃，以識別橫跨多個項目的安全漏洞,，其中包括赫赫有名的Angular,、Bazel、Golang,、Protocol Buffers 和 Fuchsia,。

GUAC 是谷歌為加強供應鏈健康所做的最新努力。它通過將來自公共和私人來源的軟件安全元數(shù)據(jù)聚合成一個“知識圖”,，并以此回答有關供應鏈風險的問題,。支撐此架構的數(shù)據(jù)來自Sigstore、GitHub,、開源漏洞（ OSV ）,、Grype和Trivy等，以在漏洞,、項目,、資源、開發(fā)人員,、工件和存儲庫之間建立有意義的關系,。

谷歌公開表示，查詢知識圖可以推動更高級別的組織成果,，例如審計,、政策、風險管理,，甚至開發(fā)人員的協(xié)助,。換句話說，這個想法是將項目與其開發(fā)人員,、漏洞和相應的軟件版本,、工件和它所屬的源存儲庫之間的不同點聯(lián)系起來。

因此,，其目的不僅使組織能夠確定它們是否受到特定漏洞的影響,，還可以估計供應鏈受到損害時的爆炸半徑。換言之,，谷歌已經(jīng)開始意識到可能破壞 GUAC 的潛在威脅,，包括系統(tǒng)被誘騙獲取有關工件，及其元數(shù)據(jù)的偽造信息等，它希望通過數(shù)據(jù)文檔的加密驗證來緩解這種威脅,。

更多信息可以來這里獲取==>>電子技術應用-AET<<