一文带你搞懂 Google 发布的新开源项目 GUAC
随着软件供应链攻击的显著增加,以及 Log4j 漏洞带来的灾难性后果和影响,软件供应链面临的风险已经成为网络安全生态系统共同关注的最重要话题之一。根据业内权威机构 Sonatype 发布的2022软件供应链现状报告,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量增加了742%。
幸运的是大家逐渐开始意识到软件供应链攻击的巨大风险,这也促使各企业积极采取一系列避免或缓解软件供应链安全风险的行动。例如美国政府就应对软件供应链安全风险发布了网络安全行政命令。除此以外,许多大公司开始共同推出有助于打击针对软件供应链的恶意行为者日益增长的威胁的措施。
2022 年 10 月,Google 宣布了一个新的开源项目,称为 Graph for Understanding Artifact Composition(简称 GUAC)。该计划尚处于早期阶段,但有望改变行业对软件供应链的理解。GUAC 的目标是解决整个生态系统不断涌现的生成软件构建、安全性和依赖性元数据的需求,旨在通过让每个企业组织(而不仅仅是那些拥有企业级安全和 IT 资金的组织)免费访问和使用这些安全信息,有效提高这些信息的可用性。
GUAC 的目标
作为一个组织,Google 的核心使命是整合全球信息,使人人都可以访问并从中受益。就网络安全世界而言,GUAC 符合该使命。GUAC 的目标是为所有组织提供顶级安全信息,包括那些没有 IT 预算或企业级安全基础设施来为自己获取此信息的组织。GUAC 是一种将有价值的软件安全元数据聚合到高保真图形数据库中的尝试。该数据库不仅包括不同软件实体的标识,还将详细说明它们之间的标准关系。
不同团体之间的社区协作产生了软件物料清单(SBOM) 等政策文档、详细说明软件构建方式的签名证明(例如SLSA)以及可以更轻松地发现和消除漏洞的数据库,例如 Global Security数据库(GSD)。GUAC 将帮助组合和综合所有这些数据库中可用的信息,并将这些信息组织成更全面的格式。这样任何人都可以找到有关他们打算使用的任何软件资产的高级安全问题所需的答案。
图片来源:Google
GUAC 四大功能
GUAC 有四个主要功能:
1. 收集信息
GUAC 可以配置为连接到各种软件安全元数据源。一些数据来源可能是公开的(例如,OSV);有些可能是企业自有的(例如,企业的内部存储库);有些可能是专有的第三方(例如,来自数据供应商)。
2. 导入信息
GUAC 从其上游数据源导入有关工件、项目、资源、漏洞、存储库甚至开发人员的数据。
3. 整理信息
从不同的上游来源获取原始元数据后,GUAC 通过规范化实体标识符、遍历依赖树和具体化隐式实体关系(例如,项目→开发人员)将其组装成一个连贯的图;漏洞→软件版本;artifact → source repo,等等。
4. 查询信息
针对组合图,可以查询附加到图中实体或与实体相关的元数据。查询给定的工件,反馈其 SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件——以及其传递依赖项等。
图片来源:Google
GUAC 涵盖的三个阶段
GUAC 是一个免费的开源平台,它将软件安全元数据的不同来源聚合到一个来源中。作为一种安全工具,GUAC 将在保护其软件基础架构免受供应链攻击的三个阶段中对组织有用。以下是它对每个阶段的用处:
第一阶段:主动阶段
主动阶段是企业采取措施以防止发生大规模软件危害的阶段。在此阶段,用户往往想知道他们最常使用的软件供应链生态系统的关键组件,而 GUAC 将使用户更容易识别它们。使用 GUAC,用户可以识别整体安全基础架构中的弱点,包括暴露于风险依赖项的区域。这样,就可以更好地在攻击发生之前阻止它们。
第二阶段:运营阶段
运营阶段是预防阶段,用户可以在其中确定要使用或部署的软件是否符合供应链风险防范措施的所有正确要求。使用 GUAC,用户可以验证软件是否符合要求的政策标准,或者生产中的所有二进制文件是否都能够追溯到安全存储库。
第三阶段:反应阶段
尽管采取了所有措施,软件供应链漏洞仍可能发生。反应阶段是用户决定在发现违规时要采取什么措施的阶段。借助 GUAC,受影响的企业可以查明其库存的哪一部分受到漏洞的影响、受影响的严重程度以及风险是什么。此信息将有助于减轻攻击并防止将来再次发生。
GUAC 对企业来说意味什么?
那么, GUAC 对企业来说意味着什么?由于该项目仍处于开发阶段,用户可以通过多种方式以个人或组织的身份参与。
- 根据一项针对约 1,000 名 CIO 的调查统计数据显示,高达 82% 的受访者认为他们所在的企业容易受到网络攻击。这意味着,如果没有采取任何措施来保护软件基础设施,那么现在需要立刻行动起来了。谷歌的这一举措再次敲响了警钟,提醒人们需要采取更多行动更加重视软件供应链安全。
- 其次,呼吁大家积极贡献。GUAC 目前是 Github 上的一个开源项目。现在它只是一个概念证明,它聚合了 SLSA、SBOM 和记分卡文档以支持对软件元数据的简单搜索。该项目欢迎贡献者将元数据添加到 GUAC 以及代表最终用户需求的顾问。
- GUAC 是SLSA 框架的新配对。安全框架——各种网络安全利益相关者之间的协作——是一组商定的行业标准,企业和个人开发人员可以采用这些标准来在构建软件时做出明智的安全决策。结合起来,这两个政策文件将有助于在软件安全方面取得更好的成果。
- GUAC 还证明了软件物料清单(SBOM) 日益增长的重要性。这个软件中使用的所有工件的正式列表降低了用户安全漏洞的风险,还帮助他们知道如何采取行动以及在发生漏洞时在哪里寻找漏洞。
- 最后需要明确的是,保证软件的所有第三方组件完整性的唯一方法是确保所有不是企业开发人员自己编写的代码都得到充分说明、未被篡改并且没有任何恶意代码。
参考链接:
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
https://security.googleblog.com/2022/10/announcing-guac-great-pairing-with-slsa.html
一文带你搞懂 Google 发布的新开源项目 GUAC的更多相关文章
- 【springcloud】一文带你搞懂API网关
作者:aCoder2013 https://github.com/aCoder2013/blog/issues/35 前言 假设你正在开发一个电商网站,那么这里会涉及到很多后端的微服务,比如会员.商品 ...
- 一文带你搞懂 Kafka 的系统架构(深度好文,值得收藏)
Kafka 简介 Kafka 是一种高吞吐.分布式.基于发布和订阅模型的消息系统,最初是由 LinkedIn 公司采用 Scala 和 java 开发的开源流处理软件平台,目前是 Apache 的开源 ...
- 一文带你搞懂 RPC 到底是个啥
RPC(Remote Procedure Call),是一个大家既熟悉又陌生的词,只要涉及到通信,必然需要某种网络协议.我们很可能用过HTTP,那么RPC又和HTTP有什么区别呢?RPC还有什么特点, ...
- 一文带你搞懂 JWT 常见概念 & 优缺点
在 JWT 基本概念详解这篇文章中,我介绍了: 什么是 JWT? JWT 由哪些部分组成? 如何基于 JWT 进行身份验证? JWT 如何防止 Token 被篡改? 如何加强 JWT 的安全性? 这篇 ...
- 从定义到AST及其遍历方式,一文带你搞懂Antlr4
摘要:本文将首先介绍Antlr4 grammer的定义方式,如何通过Antlr4 grammer生成对应的AST,以及Antlr4 的两种AST遍历方式:Visitor方式和Listener方式. 1 ...
- 一文带你搞懂 SSR
欲语还休,欲语还休,却道天凉好个秋 ---- <丑奴儿·书博山道中壁>辛弃疾 什么是 SSR ShadowsocksR?阴阳师?FGO? Server-side rendering (SS ...
- 一文搞懂Google Navigation Component
一文搞懂Google Navigation Component 应用中的页面跳转是一个常规任务, Google官方提供的解决方案是Android Jetpack的Navigation componen ...
- 一文带你读懂zookeeper在大数据生态的应用
一个执着于技术的公众号 一.简述 在一群动物掌管的世界中,动物没有人类聪明的思想,为了保持动物世界的生态平衡,这时,动物管理员-zookeeper诞生了. 打开Apache zookeeper的官网, ...
- 一文带你读懂什么是vxlan网络
一个执着于技术的公众号 一.背景 随着云计算.虚拟化相关技术的发展,传统网络无法满足大规模.灵活性要求高的云数据中心的要求,于是便有了overlay网络的概念.overlay网络中被广泛应用的就是vx ...
- 【项目实践】一文带你搞定Spring Security + JWT
以项目驱动学习,以实践检验真知 前言 关于认证和授权,R之前已经写了两篇文章: [项目实践]在用安全框架前,我想先让你手撸一个登陆认证 [项目实践]一文带你搞定页面权限.按钮权限以及数据权限 在这两篇 ...
随机推荐
- sql 中HAVING函数
select * from <表名> group by<过滤的数据> having <晒选的列名>=<条件> 例 select * from villa ...
- sql limit函数
select * from <表名> order by <列名> desc limit <第几位数>; select * from villa_info order ...
- 项目管理构建工具——Maven(高阶篇)
项目管理构建工具--Maven(高阶篇) 我们在之前的文章中已经基本了解了Maven,但也仅仅只止步于了解 Maven作为我们项目管理构建的常用工具,具备许多功能,在这篇文章中我们来仔细介绍 分模块开 ...
- 部署 LNMP(源码安装版本)shell脚本
#!/bin/bash # 一键部署 LNMP(源码安装版本) menu() { clear echo " ##############‐‐‐‐Menu‐‐‐‐##############& ...
- 堆内存动态分配情况和jvm调优方向
由上图可以看出: 堆中分为新生代(占堆1/3内存)和老年代(占堆2/3内存), 新生代又分为Eden区(占新生代内存的8/10)和survivor区(占新生代内存的2/10), survivor区又分 ...
- 一篇文章带你掌握MyBatis简化框架——MyBatisPlus
一篇文章带你掌握MyBatis简化框架--MyBatisPlus 我们在前面的文章中已经学习了目前开发所需的主流框架 类似于我们所学习的SpringBoot框架用于简化Spring开发,我们的国人大大 ...
- 8.MongoDB系列之创建副本集(一)
1. 复制简介 在MongoDB中,创建副本集后就可以使用复制功能了,副本集是一组服务器,其中一个是用于处理写操作的主节点,还有多个用于保存主节点的数据副本的从节点,如果主节点崩溃了,则从节点会从中选 ...
- LeetCode------两数之和(3)【数组】
来源:力扣(LeetCode) 链接:https://leetcode-cn.com/problems/two-sum 给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 ...
- 前后端代码分离开发(Vue)
- echarts在Vue项目中的实际运用效果图
文章目录 1.在后台系统首页中.可以根据需求制作相应的图表 2.在Vue中使用echarts的详细过程参照这个链接 1.在后台系统首页中.可以根据需求制作相应的图表 2.在Vue中使用echarts的 ...