谷歌推出开源计划GUAC，保护软件供应链安全

该项目名为GUAC（Graph for Understanding Artifact Composition, “制品成分图”）。届时，GUAC将为开发人员、安全团队、审计人员和其它企业相关利益者提供关于应用程序和代码库中组件安全性、证明和可信性的统一信息来源。

GUAC将收集并综合执行此类分析所需的源自不同来源的所有信息，如软件物料清单 (SBOM)、已知漏洞信息和关于某特定软件如何构建的签名证明书等。用户将能够从GUAC查询其软件中最常使用的关键组件信息、相关依赖信息和任意潜在弱点和漏洞信息。

谷歌表示，GUAC将使软件和安全团队判断其将要部署的应用程序是否符合组织机构的策略，以及判断生产中的所有二进制能否追踪至安全仓库。

谷歌表示，除了可用于主动式安全和运营安全外，GUAC将帮助组织机构更有效地应对所发现威胁。例如，发现新漏洞时，组织机构将能够利用GUAC判断具体哪个软件组成部分受影响。同样，当开源组件被降级后，GUAC可帮助开发和安全团队快速评估对其环境造成的影响。

谷歌开源安全团队的资深软件工程师 Brandon Lum 指出，组织机构将能够在内部部署GUAC或将其作为审计软件元数据的外部来源。

Lum 表示，“GUAC将从多个来源拉取信息如GitHub、Sigstore和开源包管理器。如果在组织机构中运行GUAC，则可将其配置为从内部来源拉取数据，它将能够包含特定于组织机构或厂商的断言或认证。”

大型组织基本已开始执行其中很多能力，以应对软件供应链中存在的漏洞和风险。SolarWinds 和 Codecov等公司遭受的攻击表明，攻击者可通过在源自受信任厂商提供的软件更新中大规模植入恶意软件，攻陷组织机构。

最近，威胁行动者开始在广泛使用的公开代码仓库中植入恶意代码，目的是诱骗开发团队和自动构建工具下载恶意软件。

这种趋势促使组织机构更多地关注所使用软件组件的安全。它们主要关注多项实践如生成或要求提供SBOM并使用安全框架如SLSA来保护组件遭篡改和易受攻击的组件。美国总统拜登在2021年5月公开要求所有的联邦民用机构为内部开发的软件维护SBOM，并要求从外部或合同商处采购的软件也提供SBOM。

组织机构审计软件供应链所需的很多信息已经以多种方式存在。GUAC将以标准格式收集所有信息并民主化其可用性。Lum表示，所有人均可使用GUAC，“GUAC可用作公开服务或用于组织机构内部。例如，组织机构可在内部为专有软件运行GUAC，并从公开实例中查询厂商或开源软件。”

ThreatQuotient 公司的市场和生态系统开发总监 Nigel Houghton 指出，与软件供应链安全关联的进程和工具存在多种，如生成SBOM或校验和的进程和工具以及可用于验证特定软件的签名。Houghton 表示，“虽然存在很多种信息来源，但并没有一种方法能够把这些信息集中到一个地方。GUAC尝试这样做，而这是行业急需的。”

Houghton 认为GUAC能够对软件供应链的安全性具有更大的可见性，会让消费者和生产者均获益，“它使厂商能够有机会展现其软件供应链的安全性，并使其能够对自己的软件供应链安全拥有可见性，从而更好地进行管理。但，最终，消费者的获益最多，因为这意味着消费者能够验证自己所购买或使用的软件的供应链。”

API安全测试厂商 StackHawk 的联合创始人兼首席安全官 Scott Gerlach 认为，GUAC是解决这一难题的开端。GUAC将使开源开发人员参与到这类计划中。

Gerlach 问道，“他们的动力是什么？大多时候，开源开发人员出于对解决问题的热情和很强的好奇心开发项目。激发开源软件维护人员参与进来是GUAC成功的关键。”

Houghton 也持有这样的观点，“现在最大的挑战就是软件行业整体的采用。”但由于GUAC是OpenSSF 提出的项目，因此他认为至少基于Linux 项目大概率会使用GUAC。

Vulcan Cyber的技术工程师 Mike Parkin 观察到了其它问题。他指出，“他们面临的第一个问题就是合并和规范他们计划收集的庞大数据。”他认为第二个问题是找到一种兼顾有用和可用的数据可视化方法。

他指出，“如果他们能实现这一点，那么让人们接受并使用GUAC就会变得极其容易。”

谷歌已与软件供应链安全创业公司 Kusari、花旗和普渡大学协同开发了GUAC的原型版本，目前正在寻找贡献人员的加入。