谷歌推出开源计划GUAC,保护软件供应链安全

最新推荐文章于 2024-05-21 23:52:33 发布
最新推荐文章于 2024-05-21 23:52:33 发布
阅读量1.5k 收藏
点赞数
分类专栏: 软件供应链 DevSecOps分享 开源 文章标签: 开源 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/127559174
版权

一、什么是GUAC

Graph for Understanding Artifact Composition (GUAC) 将软件安全元数据聚合到一个高保真图数据库中——规范化实体身份并映射它们之间的标准关系。查询此图表可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助。

从概念上讲,GUAC占据了软件供应链透明逻辑模型的“聚合与综合”层:

 

二、GUAC有四个主要功能领域:

收集

GUAC 可以配置为连接到各种软件安全元数据源。一些来源可能是公开的(例如,OSV);有些可能是第一方(例如,组织的内部存储库);有些可能是专有的第三方(例如,来自数据供应商)。

摄取

从其上游数据源 GUAC 导入有关工件、项目、资源、漏洞、存储库甚至开发人员的数据。

整理

从不同的上游来源获取原始元数据后,GUAC 通过规范化实体标识符、遍历依赖树和具体化隐式实体关系(例如,项目→开发人员)将其组装成一个连贯的图;漏洞→软件版本;artifact → source repo,等等。

查询

组合图可以查询附加到图内实体或与图内实体相关的元数据。查询给定的工件可能会返回它的 SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件——以及它的传递依赖项。

GUAC 大规模聚合和综合软件安全元数据,使其有意义和可操作。有了GUAC,我们将能够回答软件供应链安全三个重要阶段的问题:

主动,例如,

我的软件供应链生态系统中最常用的关键组件是什么?

我的整体安全态势中的弱点在哪里?

我如何防止供应链受损?

我在哪里暴露于有风险的依赖关系?

可操作的,例如,

是否有证据表明我将要部署的应用程序符合组织政策?

生产中的所有二进制文件是否都可以追溯到安全管理的存储库?

反应性的,例如,

我的组织清单的哪些部分受到新漏洞 X 的影响?

发生了可疑的项目生命周期事件。我的组织在哪里引入了风险?

一个开源项目正在被弃用。我受到怎样的影响?

 

GUAC github:

https://github.com/guacsec/guac

Demo:

https://github.com/guacsec/guac/blob/main/SETUP.md

GitMore
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Guac-A-Mole:FAC21的第4周迷你项目-萨菲亚和克雷格-https
04-09
鳄梨 FAC21的第4周迷你项目-萨菲亚和克雷格 项目本周,我们被设置为一个,我们从Wes Bos的视频系列中选择了Whack-A-Mole游戏。 徽标Craig使用制作了Guac-a-mole徽标,并使用选择了颜色主题。
html5remote:鳄梨调味酱(html5 VNC / RDP)和GateOne(html5 SSH)的便携式版本-开源
05-08
该项目包含其他开源软件的二进制打包:-鳄梨调味酱(鳄梨酱(html5 VNC / RDP客户端,http://guac-dev.org)-GateOne(html5 / websocket SSH客户端,http://liftoffsoftware.com/Products / GateOne)该软件在特殊环境中执行,无需安装即可在多个Linux发行版上运行。 该环境包含一个特定的软件堆栈,一些Linux共享库和来自Ubuntu 12.04 LTS的修补二进制文件(请参阅patchELF)。 唯一的要求是:-Linux内核版本> = 2.6.24-64位体系结构示例安装#> wget https://sourceforge.net/projects/html5remote/files/gateOne-standalone-beta2.x64.tgz/download -O gateOne-standalone-beta2.x64.tgz#> tar -zxf gateOne-standalone-beta2.x64.tgz#> cd gateone64-standalone#> ./g
guac-install:在Ubuntu上安装Guacamole的脚本
02-03
guac-install:在Ubuntu上安装Guacamole的脚本
GAS-Form-Sample:Google Apps 脚本中的表单函数示例
06-23
表格示例 Google Apps 脚本中的表单函数示例 上传者 发送电子邮件 预防措施 必须提前为目标电子表格设置权限 使用电子邮件发送功能需要事先设置权限 安装 将 gs/html 文件放在同一个项目中 json 和 txt 文件都作为 Google Docs 安装在驱动器中。 json / txt 文件不会按原样加载 需要一个电子表格来记录出站数据 我需要一个电子表格来存储日志数据 环境 描述 config.json 中的设置并描述 gs 文件开头的文件 ID。 需要在config.json中描述配置文件的文件/文件夹ID。 文件夹 ID保存目标文件夹 sheet_id记录用电子表格 log_sheet_id记录电子表格 mail_body_file_id (mail_configs 数组中的每个节点一个)电子邮件正文文本文件 使用 Google Script Publishing
guacamole学习小结(三)
qq_38781075的博客
07-03 738
承接上文 https://blog.csdn.net/qq_38781075/article/details/106994385 这次我们来聊一聊创建guacd的user线程前后发生的事情。 这篇文章将会以SSH为例讲解,并且是以第一个连接远程桌面的人的视角,也就是这个远程桌面的拥有者。 先从guac_client_init函数讲起,每个不同的远程协议都有不同的guac_client_init函数的实现。 首先先拿到一些参数,这些都是定义好的。 client->args = GUAC_S
grash:Bash依赖性分析器
02-09
废料 bash脚本的依赖性分析工具。 目的 创建该工具是为了快速评估bash脚本所依赖的可执行文件。 它通过解析一个或多个脚本并查找执行的所有内容的名称来工作。 然后,它将列表与环境路径中的文件进行比较,并返回公共集。 安装 从PyPi pip install grash grash -h 从来源 克隆项目并使用Poetry安装。 git clone [email protected]:colin-pm/grash.git cd grash poetry install poetry shell grash -h 用法 目前,Grash仅支持打印出所选脚本的依赖项。 未来的功能旨在实现生成依赖关系的可视网络图。 要评估脚本中的依赖关系,请执行以下命令。 使用foo.sh ... #! /usr/bin/env bash for FILE in $( ls $1 ) ; do if
谷歌推出开源项目以提高软件供应链安全
kafankeji的博客
10-24 122
从技术的角度来看,GUAC有四个主要的功能领域,分别是从软件安全数据库的各种来源收集元数据,摄取上述数据,将其整理成一个一致的图,并查询给定的工件以查看其SBOM、来源、构建链、项目记分卡、漏洞等。这些文档分散在不同的数据库和生产者中,依附于不同的生态系统实体,无法轻松聚合以回答有关组织软件资产的更高级别问题。符合谷歌组织并使全世界的信息普遍可访问和有用的使命,GUAC旨在使安全信息的可用性民主化,使其为每个组织自由访问和有用,而不仅仅是那些拥有企业级安全和it资金的组织。
确保软件供应链安全的三大建议
smellycat000的专栏
07-22 488
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
谷歌的三大技术演进与开源社区跟进
一名数据库爱好者的专栏
05-22 297
谷歌每次技术更新时,开源社区都在持续跟进。 谷歌这是个NB的公司。 Google GFS MapReduce BigTable 开源社区 hdfs hadoop hbase 后面继续补充
guacamole整体架构
热门推荐
cherrybomb1111的博客
03-28 1万+
一、    架构 guacamole架构分为三个部分,分别是guacamoleclient、guacamole server、guacamole proxy。 guacamole client由JavaScript实现,一旦它被加载到用户的web浏览器里,它立即连接到guacamoleserver。这二者之间的交互是通过HTTP之上的guacamole 协议完成的。 guacamol
guac-web:Guac直播平台的主要Web UI
05-12
guac网 Web ui 源代码 安装节点依赖项 yarn 将.env.build-example文件复制到.env.build cp .env.build-example .env.build 您现在可以执行项目。 # Run in development mode now dev # Deploy to production npm ...
广为使用的OpenLiteSpeed web服务器软件受多个高危漏洞影响
smellycat000的专栏
11-14 422
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的OpenLiteSpeed Web Server 及其企业版本中存在多个高危漏洞,可被用于实现远程代码执行。Palo Alto Networks Unit 42 发布报告称,“通过结合利用这些漏洞,攻击者可攻陷这些 web 服务器并获得完整的远程代码执行权限。” OpenLiteSpeed 是LiteSpeed Web Server 的开源...
互联网摸鱼日报(2022-10-24)
weixin_43849685的博客
10-24 260
KubeOS : 面向云原生场景的容器操作系统周星驰招聘Web3人才:要有头脑又宅心仁厚;微软回应“泄露2.4TB数据”;罗永浩AR创业公司获近4亿元融资 | AI一周资讯Apache Pulsar 在微信大流量实时推荐场景下的实践60岁周星驰招聘Web3.0人才,要求“宅心仁厚”;马斯克计划裁掉推特75%的员工;Linus致开发者:不要再熬夜了 | Q资讯DevOps 在施耐德:众人参与其中的变革之旅罗永浩“退网”,一步三回头比尔·盖茨再押注清洁能源:投资5000万美元建设清洁航空燃料工厂苹果公司高层再现
一文带你读懂 Google GUAC 项目
分享平台工程、应用部署的最佳实践
12-09 282
2022 年 10 月,Google 宣布了一个新的开源项目 GUAC。该计划尚处于早期阶段,但有望改变行业对软件供应链的理解。
自由应用大本营?开源免费的Android应用商店:F-Droid Client
2401_83063795的博客
05-21 534
拥抱开源,守护隐私,让自由软件成为您生活的一部分
借助开源数据可视化平台发展契机,实现办公流程化!
Gzlcxxjs的博客
05-21 65
开源数据可视化平台可以助力企业开源节流,从而提升市场竞争力,收获更多辉煌价值。
springboot vue 开源 会员收银系统 (3) 会员模块开发
qq_35238367的博客
05-21 182
springboot vue 开源 会员收银系统 (3) 会员模块的开发
一个开源的个人主页模板,可以通过 Github Actions 来进行自动构建。
星霜笔记
05-21 344
然后在仓库中进行任意修改后均会触发工作流的运行,在工作流完成后,会在下方生成一个可供下载的压缩包,这就是构建出的静态文件,可自行上传至服务器。主页的 Logo 字体已经过压缩,若用本站 Logo 以外的字母会变回默认字体,这里是。如果想要添加更多的本地图片作为网站背景,可以将图片重命名。页面,若您是首次开启,则会出现下面的提示,点击开启。简单的小主页,原来的看够了,重新弄了一个。,请将字体引入链接更改为下方内容,否则。开源字体,采用字体拆分,提升加载速度。,若无法下载,可将字体目录下的。
开源博客项目Blog .NET Core源码学习(23:App.Hosting项目结构分析-11)
最新发布
gc_2299的博客
05-21 595
学习并分析App.Hosting项目中后台管理页面的标签管理页面、轮播图维护页面
开源免费的 BI 工具。仅需 5 分钟,数据变大屏。众多精美可视化大屏模板等你来选
colorful18life的博客
05-17 252
确实存在许多开源且免费的BI(商业智能)工具,这些工具能够帮助用户快速创建数据可视化大屏。在选择BI工具时,请考虑您的具体需求、技术背景和数据源类型。一些工具可能更适合特定的用例或数据源,因此最好先试用几个工具,看看哪个最适合您的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值