软件供应链安全是目前很多议程中的重中之重,自从Log4j漏洞被发现和美国关于 络安全的行政命令下达以来更是如此。Google正在为一个新的开源项目寻求贡献者,该项目名为GUAC(理解工件构成的图形),虽然处于早期阶段,但准备改变该行业对软件供应链的理解方式。
摄取 — GUAC从其上游数据源导入关于工件、项目、资源、漏洞、存储库甚至开发者的数据。
整理 — 从不同的上游数据源摄取原始元数据后,GUAC通过规范实体标识符、遍历依赖树和重新确定隐含的实体关系,将其组合成一个连贯的图谱。
查询 — 对照组装好的图谱,用户可以查询附属于图中实体或与之相关的元数据。查询一个给定的工件可以返回它的SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件–以及那些与之相关的依赖关系。
你可以在GitHub上找到更多关于这个项目的信息并参与进来,GUAC团队也将在下周的Kubecon NA 2022上展示这个项目:
https://github.com/guacsec/guac
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!