幸運(yùn)的是大家逐漸開(kāi)始意識(shí)到軟件供應(yīng)鏈攻擊的巨大風(fēng)險(xiǎn)，這也促使各企業(yè)積極采取一系列避免或緩解軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的行動(dòng)。例如美國(guó)政府就應(yīng)對(duì)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)發(fā)布了網(wǎng)絡(luò)安全行政命令。除此以外，許多大公司開(kāi)始共同推出有助于打擊針對(duì)軟件供應(yīng)鏈的惡意行為者日益增長(zhǎng)的威脅的措施。
 

2022 年 10 月，Google 宣布了一個(gè)新的開(kāi)源項(xiàng)目，稱為 Graph for Understanding Artifact Composition（簡(jiǎn)稱 GUAC）。該計(jì)劃尚處于早期階段，但有望改變行業(yè)對(duì)軟件供應(yīng)鏈的理解。GUAC 的目標(biāo)是解決整個(gè)生態(tài)系統(tǒng)不斷涌現(xiàn)的生成軟件構(gòu)建、安全性和依賴性元數(shù)據(jù)的需求，旨在通過(guò)讓每個(gè)企業(yè)組織（而不僅僅是那些擁有企業(yè)級(jí)安全和 IT 資金的組織）免費(fèi)訪問(wèn)和使用這些安全信息，有效提高這些信息的可用性。
 

GUAC 的目標(biāo)

作為一個(gè)組織，Google 的核心使命是整合全球信息，使人人都可以訪問(wèn)并從中受益。就網(wǎng)絡(luò)安全世界而言，GUAC 符合該使命。GUAC 的目標(biāo)是為所有組織提供頂級(jí)安全信息，包括那些沒(méi)有 IT 預(yù)算或企業(yè)級(jí)安全基礎(chǔ)設(shè)施來(lái)為自己獲取此信息的組織。GUAC 是一種將有價(jià)值的軟件安全元數(shù)據(jù)聚合到高保真圖形數(shù)據(jù)庫(kù)中的嘗試。該數(shù)據(jù)庫(kù)不僅包括不同軟件實(shí)體的標(biāo)識(shí)，還將詳細(xì)說(shuō)明它們之間的標(biāo)準(zhǔn)關(guān)系。
 

不同團(tuán)體之間的社區(qū)協(xié)作產(chǎn)生了軟件物料清單(SBOM) 等政策文檔、詳細(xì)說(shuō)明軟件構(gòu)建方式的簽名證明（例如SLSA）以及可以更輕松地發(fā)現(xiàn)和消除漏洞的數(shù)據(jù)庫(kù)，例如 Global Security數(shù)據(jù)庫(kù)（GSD）。GUAC 將幫助組合和綜合所有這些數(shù)據(jù)庫(kù)中可用的信息，并將這些信息組織成更全面的格式。這樣任何人都可以找到有關(guān)他們打算使用的任何軟件資產(chǎn)的高級(jí)安全問(wèn)題所需的答案。

圖片來(lái)源：Google
 

GUAC 四大功能

GUAC 有四個(gè)主要功能：

1. 收集信息

GUAC 可以配置為連接到各種軟件安全元數(shù)據(jù)源。一些數(shù)據(jù)來(lái)源可能是公開(kāi)的（例如，OSV）；有些可能是企業(yè)自有的（例如，企業(yè)的內(nèi)部存儲(chǔ)庫(kù)）；有些可能是專有的第三方（例如，來(lái)自數(shù)據(jù)供應(yīng)商）。
 

2. 導(dǎo)入信息

GUAC 從其上游數(shù)據(jù)源導(dǎo)入有關(guān)工件、項(xiàng)目、資源、漏洞、存儲(chǔ)庫(kù)甚至開(kāi)發(fā)人員的數(shù)據(jù)。
 

3. 整理信息

從不同的上游來(lái)源獲取原始元數(shù)據(jù)后，GUAC 通過(guò)規(guī)范化實(shí)體標(biāo)識(shí)符、遍歷依賴樹(shù)和具體化隱式實(shí)體關(guān)系（例如，項(xiàng)目→開(kāi)發(fā)人員）將其組裝成一個(gè)連貫的圖；漏洞→軟件版本；artifact → source repo，等等。
 

4. 查詢信息

針對(duì)組合圖，可以查詢附加到圖中實(shí)體或與實(shí)體相關(guān)的元數(shù)據(jù)。查詢給定的工件，反饋其 SBOM、出處、構(gòu)建鏈、項(xiàng)目記分卡、漏洞和最近的生命周期事件——以及其傳遞依賴項(xiàng)等。

圖片來(lái)源：Google
 

GUAC 涵蓋的三個(gè)階段

GUAC 是一個(gè)免費(fèi)的開(kāi)源平臺(tái)，它將軟件安全元數(shù)據(jù)的不同來(lái)源聚合到一個(gè)來(lái)源中。作為一種安全工具，GUAC 將在保護(hù)其軟件基礎(chǔ)架構(gòu)免受供應(yīng)鏈攻擊的三個(gè)階段中對(duì)組織有用。以下是它對(duì)每個(gè)階段的用處：

第一階段：主動(dòng)階段

主動(dòng)階段是企業(yè)采取措施以防止發(fā)生大規(guī)模軟件危害的階段。在此階段，用戶往往想知道他們最常使用的軟件供應(yīng)鏈生態(tài)系統(tǒng)的關(guān)鍵組件，而 GUAC 將使用戶更容易識(shí)別它們。使用 GUAC，用戶可以識(shí)別整體安全基礎(chǔ)架構(gòu)中的弱點(diǎn)，包括暴露于風(fēng)險(xiǎn)依賴項(xiàng)的區(qū)域。這樣，就可以更好地在攻擊發(fā)生之前阻止它們。
 

第二階段：運(yùn)營(yíng)階段

運(yùn)營(yíng)階段是預(yù)防階段，用戶可以在其中確定要使用或部署的軟件是否符合供應(yīng)鏈風(fēng)險(xiǎn)防范措施的所有正確要求。使用 GUAC，用戶可以驗(yàn)證軟件是否符合要求的政策標(biāo)準(zhǔn)，或者生產(chǎn)中的所有二進(jìn)制文件是否都能夠追溯到安全存儲(chǔ)庫(kù)。
 

第三階段：反應(yīng)階段

盡管采取了所有措施，軟件供應(yīng)鏈漏洞仍可能發(fā)生。反應(yīng)階段是用戶決定在發(fā)現(xiàn)違規(guī)時(shí)要采取什么措施的階段。借助 GUAC，受影響的企業(yè)可以查明其庫(kù)存的哪一部分受到漏洞的影響、受影響的嚴(yán)重程度以及風(fēng)險(xiǎn)是什么。此信息將有助于減輕攻擊并防止將來(lái)再次發(fā)生。
 

GUAC 對(duì)企業(yè)來(lái)說(shuō)意味什么？

那么， GUAC 對(duì)企業(yè)來(lái)說(shuō)意味著什么？由于該項(xiàng)目仍處于開(kāi)發(fā)階段，用戶可以通過(guò)多種方式以個(gè)人或組織的身份參與。
 

• 根據(jù)一項(xiàng)針對(duì)約 1,000 名 CIO 的調(diào)查統(tǒng)計(jì)數(shù)據(jù)顯示，高達(dá) 82% 的受訪者認(rèn)為他們所在的企業(yè)容易受到網(wǎng)絡(luò)攻擊。這意味著，如果沒(méi)有采取任何措施來(lái)保護(hù)軟件基礎(chǔ)設(shè)施，那么現(xiàn)在需要立刻行動(dòng)起來(lái)了。谷歌的這一舉措再次敲響了警鐘，提醒人們需要采取更多行動(dòng)更加重視軟件供應(yīng)鏈安全。
   
• 其次，呼吁大家積極貢獻(xiàn)。GUAC 目前是 Github 上的一個(gè)開(kāi)源項(xiàng)目。現(xiàn)在它只是一個(gè)概念證明，它聚合了 SLSA、SBOM 和記分卡文檔以支持對(duì)軟件元數(shù)據(jù)的簡(jiǎn)單搜索。該項(xiàng)目歡迎貢獻(xiàn)者將元數(shù)據(jù)添加到 GUAC 以及代表最終用戶需求的顧問(wèn)。
   
• GUAC 是SLSA 框架的新配對(duì)。安全框架——各種網(wǎng)絡(luò)安全利益相關(guān)者之間的協(xié)作——是一組商定的行業(yè)標(biāo)準(zhǔn)，企業(yè)和個(gè)人開(kāi)發(fā)人員可以采用這些標(biāo)準(zhǔn)來(lái)在構(gòu)建軟件時(shí)做出明智的安全決策。結(jié)合起來(lái)，這兩個(gè)政策文件將有助于在軟件安全方面取得更好的成果。
   
• GUAC 還證明了軟件物料清單(SBOM) 日益增長(zhǎng)的重要性。這個(gè)軟件中使用的所有工件的正式列表降低了用戶安全漏洞的風(fēng)險(xiǎn)，還幫助他們知道如何采取行動(dòng)以及在發(fā)生漏洞時(shí)在哪里尋找漏洞。
   
• 最后需要明確的是，保證軟件的所有第三方組件完整性的唯一方法是確保所有不是企業(yè)開(kāi)發(fā)人員自己編寫(xiě)的代碼都得到充分說(shuō)明、未被篡改并且沒(méi)有任何惡意代碼。