Google上線開放源碼項目GUAC 旨在促進供應鏈安全


軟件供應鏈安全是目前很多議程中的重中之重,自從Log4j漏洞被發現和美國關於網絡安全的行政命令下達以來更是如此。Google正在為一個新的開源項目尋求貢獻者,該項目名為GUAC(理解工件構成的圖形),雖然處於早期階段,但準備改變該行業對軟件供應鏈的理解方式。

GUAC image 1 .png

GUAC的目的是為軟件構建、安全和依賴性元數據信息提供充分可用性,讓每個組織都能免費獲得這些信息,並對其有用,而不僅僅是那些擁有企業規模的安全和IT資金的組織。盡管各組織目前可以獲得軟件材料清單、漏洞數據庫和其他信息來源,但很難將這些信息結合起來並加以綜合,以獲得一個更全面的觀點。

Google與Kusari、普渡大學和花旗銀行合作創建GUAC,這是一個免費的工具,可以將許多不同來源的軟件安全元數據結合起來。GUAC有四個關鍵功能。

GUAC 3.png

收集 -- GUAC可以被配置為連接到各種軟件安全元數據的來源。一些來源可能是公開的和公共的(如OSV);一些可能是第一方的(如一個組織的內部存儲庫);一些可能是專有的第三方的(如來自數據供應商)。

攝取 -- GUAC從其上遊數據源導入關於工件、項目、資源、漏洞、存儲庫甚至開發者的數據。

整理 -- 從不同的上遊數據源攝取原始元數據後,GUAC通過規范實體標識符、遍歷依賴樹和重新確定隱含的實體關系,將其組合成一個連貫的圖譜。

查詢 -- 對照組裝好的圖譜,用戶可以查詢附屬於圖中實體或與之相關的元數據。查詢一個給定的工件可以返回它的SBOM、出處、構建鏈、項目記分卡、漏洞和最近的生命周期事件--以及那些與之相關的依賴關系。

GUAC image 2.png

你可以在GitHub上找到更多關於這個項目的信息並參與進來,GUAC團隊也將在下周的Kubecon NA 2022上展示這個項目:

https://github.com/guacsec/guac


相關推薦

2022-08-30

Google早在2010年就推出漏洞獎勵計劃(VRP)。顧名思義,它鼓勵研究人員和網絡安全專傢檢測安全問題和漏洞,然後私下向供應商報告。報告後,這些漏洞將被公司修復,發現問題的人將獲得金錢獎勵。在過去幾年中,Google一直

2024-04-03

不算?最終對案文進行一些修改,修訂後的立法通過澄清開放源代碼項目的不適用情況,實質性地解決人們關註的問題。雖然新法規已經獲得橡皮圖章,但要到 2027 年才會生效,這就給各方時間來滿足要求,並理清對他們的期望

2022-09-05

在今年5月的I/O開發者大會上,Google在Pixel6a智能機和PixelBudsPro真無線耳機之外,還提到即將推出的Pixel7系列智能機、傳聞已久的PixelWatch智能手表、以及Pixel平板電腦。過去幾個月裡,我們已經聽說大量與Pixel7和PixelWatch有關的細節

2022-10-19

AMD剛剛通過旗下GPUOpen項目,發表一篇題為《GI-1.0》的新技術論文。作為一項用於實時全局照明的解決方案,它具有快速、可擴展的兩級輻射緩存機制。不僅能夠提供與其它GI實現相媲美的質量,同時據說速度也快得多。此外AMD表

2023-04-14

統的計算機圖形技術對圖像進行變形和制作動畫。在演示上線後的幾個月內,用戶已經授權Meta公司使用160多萬張圖片用於培訓。一些人上傳公司標志、動漫人物、魚和毛絨動物的圖片,盡管該工具規定隻有人類形象可以使用。

2022-07-04

。22%的部門公佈他們的部分代碼,其餘的部門(30%)使用開放源碼但沒有公佈代碼。Aiven的首席技術官Heikki Nousiainen說:英國政府顯然致力於開放源代碼。它不僅更具成本效益和安全性,而且我們的研究發現,它也是招聘和保留

2024-01-31

可能是濫用註冊表來托管盜版材料。我們經常發現並報道開放源碼註冊表充斥著數以百計的加密貨幣、垃圾軟件包和依賴性混淆惡意軟件的事件,這些事件說明用戶(和攻擊者)使用此類註冊表的創新方式,以及他們看似良性的

2024-03-17

辦,當時餘承東宣佈,HarmonyOS NEXT鴻蒙星河版面向開發者開放申請。該系統將於第二季度推出開發者Beta版,並於Q4推出商用版。所謂HarmonyOS NEXT,即大傢俗稱的“純血鴻蒙”,其底座全線自研,去掉傳統的Linux內核以及AOSP安卓開

2024-04-30

星河版系統底座全線自研,砍掉傳統Linux內核、AOSP(安卓開放源代碼項目)等代碼,僅支持鴻蒙內核和鴻蒙系統的應用,因此也被稱為“純血鴻蒙”。據官方介紹,鴻蒙星河版將實現原生精致、原生應用、原生流暢、原生安全、

2023-01-27

確保供應安全的新框架:通過一流的集成電路生產設施和開放的歐盟晶圓代工廠,吸引投資,提高半導體制造、先進封裝、測試和組裝的生產能力。特別是,該提案規定促進實施有助於保障歐盟半導體供應安全的具體項目的標準

2022-12-23

Google宣佈,其最新的兩項隱私增強技術(PET),包括一項在視頻中模糊物體的技術在內將通過開放源代碼免費提供給任何人。這些新工具是Google保護性計算計劃的一部分,旨在改變"數據處理的方式、時間和地點,以從

2023-03-22

蘋果、AMD公司的處理器一起使用,他還準備將來支持根據開放源碼RISC-V技術開發的處理器。柯杜力表示,依靠一些新的人工智能軟件工具和芯片,用戶隻需要輸入幾個文字信息,就能獲得人工智能生成的全新圖片,這種工具在視

2024-03-16

該系統底座全線自研,去掉傳統的Linux內核以及AOSP(安卓開放源代碼項目)等代碼,僅支持鴻蒙內核和鴻蒙系統的應用,所以需要開發者合作打造應用生態。據華為介紹,目前已經有上千傢企業和機構啟動鴻蒙原生應用的開發,

2024-02-06

蒙”,其底座全線自研,去掉傳統的Linux內核以及AOSP安卓開放源代碼項目等代碼。僅支持鴻蒙內核和鴻蒙系統的應用,這也意味著,今後鴻蒙將與安卓徹底劃清界限。華為將HarmonyOS NEXT命名為“鴻蒙星河版”,寓意就是點點星光