(当地时间10月21日)谷歌周四呼吁贡献者一起加入一个新的开放源代码项目,即名为图形理解工件组成(GUAC)作为其开源成果的一部分,以提高软件供应链安全。
据这家科技巨头称,GUAC仍处于早期阶段,但它将改变业界对软件供应链的看法。
“GUAC是整个生态系统对软件构建、安全性和依赖元数据等蓬勃发展所催生的需求,”Google在发布的博客文章说。
“谷歌的使命是组织并使世界上的信息普遍可用和有用,GUAC的目的是使这些安全信息的可用性民主化,使每个组织。而不仅仅是那些拥有企业规模的安全和IT的组织,都能自由获取和使用这些信息。”
据谷歌称,在开源安全基金会(OpenSourceSecurityFoundation)等小组中进行协作(OpenSSF)、软件构件的供应链级别(SLSA)、包数据交换(SPDX)和CycloneDX使能机构等,能够随时访问许多技术,包括SBOMs(Software Bill of Materials),软件如何构建的签名证明和跨数据库漏洞数据库。
“这些数据本身是有用的,但很难结合和综合利用以获得更全面的观察,”在博客文章中写道。
“文档分散在不同的数据库和产品拥有者中,被附加到不同的生态系统实体,并且不能轻易得以聚合从而来回答相关机构的软件资产更高层次的问题。”
谷歌写道:“GUAC大规模地聚合和合成软件安全元数据,使其具有意义和可操作性。”
“我们很高兴能够分享该项目的概念证明,它允许您查询软件元数据的小数据集,包括SLSA出处、SBOM和OpenSSF记分卡。”
GUAC的创建,是在谷歌宣布了一个新的计划——旨在奖励在其开源项目中发现错误的研究人员的几个月之后。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!