在上周四谷歌呼吁为一个名为理解工件组合图(GUAC)的新开源项目捐款,作为其改善软件供应链安全的努力的一部分。
据这家科技巨头称,GUAC仍处于早期阶段,但它将改变整个行业对软件供应链的看法。
谷歌在一篇博客文章中写道:“GUAC解决了整个生态系统中生成软件构建、安全性和依赖性元数据的蓬勃发展所产生的需求。”
符合谷歌组织并使全世界的信息普遍可访问和有用的使命,GUAC旨在使安全信息的可用性民主化,使其为每个组织自由访问和有用,而不仅仅是那些拥有企业级安全和it资金的组织。
根据谷歌的说法,开源安全基金会(OpenSSF)、软件工件供应链级别(SLSA)、软件包数据交换(SPDX)和CycloneDX等组织之间的合作使组织能够随时访问许多技术,包括软件材料清单(soms)、关于软件如何构建的签名认证和跨数据库漏洞数据库。
这些数据本身是有用的,但很难结合和综合信息,以获得更全面的观点。这些文档分散在不同的数据库和生产者中,依附于不同的生态系统实体,无法轻松聚合以回答有关组织软件资产的更高级别问题。
GUAC的创建是为了通过汇集许多不同来源的软件安全元数据来解决这些问题,这也得益于科技巨头、Kusari、普渡大学和花旗集团之间的合作。
从技术的角度来看,GUAC有四个主要的功能领域,分别是从软件安全数据库的各种来源收集元数据,摄取上述数据,将其整理成一个一致的图,并查询给定的工件以查看其SBOM、来源、构建链、项目记分卡、漏洞等。
GUAC大规模地聚合和合成软件安全元数据,并使其具有意义和可操作性。
谷歌表示:“我们很高兴能分享这个项目的概念验证,它允许您查询软件元数据的小数据集,包括SLSA来源、soms和OpenSSF记分卡。”
在创建GUAC的几个月前,谷歌宣布了一项旨在奖励在其开源项目中发现bug的研究人员的新计划。