为强化软件供应链安全，谷歌启动GUAC开源项目

10月20日，Google宣布正在为名为Graph for Understanding Artifact Composition（GUAC）的开源项目寻找感兴趣的贡献者，以此进一步强化软件供应链安全。

谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称，GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求，以生成软件构建、安全和依赖元数据。GUAC旨在让每个组织都可以只有访问和调用这些信息，正在发挥开源的共享和民主的特性。

当下，软件供应链安全已成为网络安全领域内一大重点因素，攻击者频频利用软件供应链中某个使用广泛的弱点，掀起令全球企业为之侧目的网安大事件。例如曾经肆虐一时的SolarWinds事件和近期发生的Log4Shell漏洞事件。

在这些供应链安全事件中，攻击中以一点为突破，随后沿着供应链进行入侵并大肆窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。

谷歌多手段强化供应链安全

在启动GUAC开源项目之前，谷歌在供应链安全方面已经有了多个动作。

2021年，谷歌发布了一个名为Supply chain Levels for Software Artifacts（SLSA）的框架，旨在确保软件包的完整性并防止未经授权的修改。此外它还推出了安全记分卡的更新版本，该版本识别了第三方依赖项可能给项目带来的风险，允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。

2021年8月，谷歌进一步推出软件供应链漏洞赏金计划，以识别横跨多个项目的安全漏洞，其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。

GUAC 是谷歌为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”，并以此回答有关供应链风险的问题。支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等，以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。

谷歌公开表示，查询知识图可以推动更高级别的组织成果，例如审计、政策、风险管理，甚至开发人员的协助。换句话说，这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。

因此，其目的不仅使组织能够确定它们是否受到特定漏洞的影响，还可以估计供应链受到损害时的爆炸半径。换言之，谷歌已经开始意识到可能破坏 GUAC 的潜在威胁，包括系统被诱骗获取有关工件，及其元数据的伪造信息等，它希望通过数据文档的加密验证来缓解这种威胁。

参考来源：

精彩推荐