谷歌防病毒软件供应链的战略性框架
发布时间:2023-06-23 12:58:23 所属栏目:安全 来源:
导读:谷歌周三公布了GUAC(图形来理解内容的编写的简称,为企业保护自己的软件供应链提供0.1位 Beta版本)。
为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。
了解工件构成图
为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。
了解工件构成图
|
谷歌周三公布了GUAC(图形来理解内容的编写的简称,为企业保护自己的软件供应链提供0.1位 Beta版本)。 为此,这家搜索巨头将开源框架作为 API 提供给开发人员,以集成他们自己的工具和策略引擎。 了解工件构成图 (GUAC) 为您提供了对软件供应链安全状况的有条理且可操作的见解。GUAC 吸收软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。使用 GUAC,您可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助。 GUAC旨在将来自不同来源的软件安全元数据聚合到一个图形数据库中,该图形数据库映射出软件之间的关系,帮助组织确定一个软件如何影响另一个软件。 “用于理解工件组成的图表 ( GUAC ) 为您提供了对软件供应链安全位置的有条理和可操作的见解,”谷歌在其文档中说。 “GUAC 摄取软件安全元数据,如 SBOM,并绘制出软件之间的关系,以便您可以充分了解您的软件安全位置。” 换句话说,它旨在将软件材料清单 (SBOM) 文档、SLSA 证明、OSV 漏洞源、deps.dev 见解和公司的内部私有元数据汇集在一起,以帮助更可靠的地简明扼要的描绘风险概况并有效的可视化上下游关系在不同的工件、不同的包和存储库之间。 有了这样的设置,目标是应对备受瞩目的供应链攻击,制定补丁计划,并迅速应对安全威胁。 “例如,GUAC 可用于证明构建器受到损害(例如,通过凭据泄漏或恶意软件的摄入),然后查询受影响的工件,”谷歌说。 “这使 [首席信息安全官] 能够轻松制定政策,禁止使用爆炸半径内的任何软件。”包括勒索软件。”他补充说。“这将有助于保护公司免受网络攻击,同时确保员工的数据安全。” (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
