10月20日，Google宣布正在為名為Graph for Understanding Artifact Composition（GUAC）的開源項(xiàng)目尋找感興趣的貢獻(xiàn)者，以此進(jìn)一步強(qiáng)化軟件供應(yīng)鏈安全。

谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth稱，GUAC開源項(xiàng)目將可以解決整個(gè)生態(tài)系統(tǒng)中迅速發(fā)展的工作所產(chǎn)生的需求，以生成軟件構(gòu)建、安全和依賴元數(shù)據(jù)。GUAC旨在讓每個(gè)組織都可以只有訪問和調(diào)用這些信息，正在發(fā)揮開源的共享和民主的特性。

當(dāng)下，軟件供應(yīng)鏈安全已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一大重點(diǎn)因素，攻擊者頻頻利用軟件供應(yīng)鏈中某個(gè)使用廣泛的弱點(diǎn)，掀起令全球企業(yè)為之側(cè)目的網(wǎng)安大事件。例如曾經(jīng)肆虐一時(shí)的SolarWinds事件和近期發(fā)生的Log4Shell漏洞事件。

在這些供應(yīng)鏈安全事件中，攻擊中以一點(diǎn)為突破，隨后沿著供應(yīng)鏈進(jìn)行入侵并大肆竊取敏感數(shù)據(jù)、植入惡意軟件、并控制屬于下游客戶的系統(tǒng)。

谷歌多手段強(qiáng)化供應(yīng)鏈安全

在啟動(dòng)GUAC開源項(xiàng)目之前，谷歌在供應(yīng)鏈安全方面已經(jīng)有了多個(gè)動(dòng)作。

2021年，谷歌發(fā)布了一個(gè)名為Supply chain Levels for Software Artifacts（SLSA）的框架，旨在確保軟件包的完整性并防止未經(jīng)授權(quán)的修改。此外它還推出了安全記分卡的更新版本，該版本識(shí)別了第三方依賴項(xiàng)可能給項(xiàng)目帶來的風(fēng)險(xiǎn)，允許開發(fā)人員就接受易受攻擊的代碼或考慮其他替代方案做出明智的決定。

2021年8月，谷歌進(jìn)一步推出軟件供應(yīng)鏈漏洞賞金計(jì)劃，以識(shí)別橫跨多個(gè)項(xiàng)目的安全漏洞，其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。

GUAC 是谷歌為加強(qiáng)供應(yīng)鏈健康所做的最新努力。它通過將來自公共和私人來源的軟件安全元數(shù)據(jù)聚合成一個(gè)“知識(shí)圖”，并以此回答有關(guān)供應(yīng)鏈風(fēng)險(xiǎn)的問題。支撐此架構(gòu)的數(shù)據(jù)來自Sigstore、GitHub、開源漏洞（ OSV ）、Grype和Trivy等，以在漏洞、項(xiàng)目、資源、開發(fā)人員、工件和存儲(chǔ)庫之間建立有意義的關(guān)系。

谷歌公開表示，查詢知識(shí)圖可以推動(dòng)更高級(jí)別的組織成果，例如審計(jì)、政策、風(fēng)險(xiǎn)管理，甚至開發(fā)人員的協(xié)助。換句話說，這個(gè)想法是將項(xiàng)目與其開發(fā)人員、漏洞和相應(yīng)的軟件版本、工件和它所屬的源存儲(chǔ)庫之間的不同點(diǎn)聯(lián)系起來。

因此，其目的不僅使組織能夠確定它們是否受到特定漏洞的影響，還可以估計(jì)供應(yīng)鏈?zhǔn)艿綋p害時(shí)的爆炸半徑。換言之，谷歌已經(jīng)開始意識(shí)到可能破壞 GUAC 的潛在威脅，包括系統(tǒng)被誘騙獲取有關(guān)工件，及其元數(shù)據(jù)的偽造信息等，它希望通過數(shù)據(jù)文檔的加密驗(yàn)證來緩解這種威脅。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<