Google推出开放源代码的图形工具以加强软件供应链安全

关键要点

Google推出了开放源代码的GUAC工具，旨在通过集中管理构建、安全和依赖元数据来增强软件供应链的理解。GUAC与Citi、普渡大学和Kusari共同开发，能够聚合安全漏洞、软件材料清单和供应链级别的信息。该工具有助于识别风险、发现关键的开源软件缺陷，并收集软件依赖信息，以提升供应链安全。目前，GUAC的概念验证已经在GitHub上发布，未来还将添加更多功能。

Google最近推出了一款开放源代码的工具GUACGraph for Understanding Artifact Composition，旨在通过集中化管理构建过程、安全性及依赖元数据，来增强对软件供应链的理解。根据SecurityWeek的报道，该工具是与Citi、普渡大学以及Kusari共同开发的。

GUAC能够将来自安全漏洞、软件材料清单以及软件供应链不同层次的信息进行聚合，从而帮助确认软件工件的来源。这一过程支持实体身份的标准化以及关系映射。Google表示，利用GUAC的元数据收集、数据导入、图形数据构建和元数据查询能力，不仅可以用于风险识别，还可以用于发现关键的开源软件缺陷，并收集软件依赖信息，以提升供应链的安全性。

Google已经在GitHub上提供了GUAC的概念验证，未来预计会为这一开源工具添加更多功能。Google表示：“接下来的工作将集中在扩展现有功能和添加新的文档类型以进行数据导入上。我们欢迎代码或文档的帮助和贡献。”

一键连加速器下载ios

使用GUAC，开发者可以更好地理解和管理软件供应链中的各种组件，有助于提升企业的安全态势。对于希望参与到这一项目中的开发者，GitHub上的开放源代码项目是一个良好的起点。