在上周四谷歌呼吁为一个名为理解工件组合图(GUAC)的新开源项目捐款,作为其改善软件供应链安全的努力的一部分。
据这家科技巨头称,GUAC仍处于早期阶段,但它将改变整个行业对软件供应链的看法。
谷歌在一篇博客文章中写道:“GUAC解决了整个生态系统中生成软件构建、安全性和依赖性元数据的蓬勃发展所产生的需求。”
符合谷歌组织并使全世界的信息普遍可访问和有用的使命,GUAC旨在使安全信息的可用性民主化,使其为每个组织自由访问和有用,而不仅仅是那些拥有企业级安全和it资金的组织。
根据谷歌的说法,开源安全基金会(OpenSSF)、软件工件供应链级别(SLSA)、软件包数据交换(SPDX)和CycloneDX等组织之间的合作使组织能够随时访问许多技术,包括软件材料清单(soms)、关于软件如何构建的签名认证和跨数据库漏洞数据库。
这些数据本身是有用的,但很难结合和综合信息,以获得更全面的观点。这些文档分散在不同的数据库和生产者中,依附于不同的生态系统实体,无法轻松聚合以回答有关组织软件资产的更高级别问题。
GUAC大规模地聚合和合成软件安全元数据,并使其具有意义和可操作性。
在创建GUAC的几个月前,谷歌宣布了一项旨在奖励在其开源项目中发现bug的研究人员的新计划。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!