為強化軟體供應鏈安全，Google啟動 GUAC 專案

Google宣佈Graph for Understanding Artifact Composition（GUAC）的開源專案，尋找各界貢獻者，以此強化軟體供應鏈安全。
 
Google表示，GUAC開源專案可以解決整個生態系統中迅速發展工作所產生的軟體供應鏈需求，以發展軟體構建、安全和依賴中繼資料。GUAC旨在讓每個組織都可以存取和調用這些資訊，正在發揮開源共用和多方治理的特性。

當下，軟體供應鏈安全已成為網路安全重大議題，攻擊者頻頻利用軟體供應鏈中的弱點，掀起令全球企業關注的網安重大事件，如SolarWinds事件和Log4Shell漏洞事件。

在這些供應鏈安全事件中，攻擊者取得突破點後，沿著供應鏈入侵並竊取敏感性資料、植入惡意軟體、並控制下游客戶的系統。

Google多手段強化供應鏈安全

2021年，Google發佈了一個名為Supply chain Levels for Software Artifacts（SLSA）的框架，旨在確保套裝軟體的完整性並防止未經授權的修改。此外它還推出了安全記分卡的更新版本，該版本識別了協力廠商依賴項目可能給專案帶來的風險，允許開發人員辨識易受攻擊的程式碼或考慮其他替代方案。

同年8月，Google進一步推出軟體供應鏈漏洞賞金計畫，以識別橫跨多個項目的安全性漏洞，其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。

GUAC 是Google為加強供應鏈安全所做的最新努力。它聚合來自公共和私人來源的軟體安全資料，形成一個知識架構，藉以回答供應鏈風險。支撐此架構的資料來自Sigstore、GitHub、開源漏洞( OSV )、Grype和Trivy等，已在漏洞、專案、資源、開發人員、工具和資料庫之間建立有意義的關係。

Google公開表示，GUAC可以推動更高級的效果，例如審計、政策、風險管理，甚至開發人員的協助。因此，其目的不僅使組織能夠明確自身是否受到特定漏洞的影響，還可以估計供應鏈受到損害時的影響範圍。

同時，Google也開始意識到可能破壞 GUAC 的潛在威脅，包括系統被誘騙獲取有關工具，及其中繼資料的偽造資訊等，Google希望通過資料文檔的加密驗證來緩解這種威脅。

本文轉載自hehackernews.com。