此前 Google 就已经针对软件供应链的安全开源了一个名为 SLSA（Supply chain Levels for Software Artifacts）的框架，这是一个新的端到端框架，Google 希望通过 SLSA 能推动标准和准则的实施，以确保整个软件供应链中软件工件的完整性。

SLSA 框架的灵感来自其强制性的内部 「Binary Authorization for Borg」 执行检查器，该检查器可确保生产软件得到适当的审查和授权，特别是在代码可以访问用户数据的情况下。Binary Authorization for Borg 已经在 Google 内部使用了 8 年时间，并且是 Google 所有生产工作负载的强制性检查器。

Google 近日又公开了一个针对软件供应链的全新开源项目，该项目名为 GUAC（Graph for Understanding Artifact Composition），由 Google 与 Kusari、普渡大学和花旗银行合作开发。

这是一个免费的工具，可以将许多不同来源的软件安全元数据结合起来，GUAC 的目的是使软件构建、安全和依赖性元数据信息具有更广泛的可用性，使每个组织都能免费获得这些信息，而不仅仅是那些行业顶尖的企业组织。

此前存在的问题在于，尽管各企业组织目前可以获得软件材料清单、漏洞数据库和其他信息来源，但很难将这些信息结合起来并加以综合，无法获得一个更全面的数据视角。目前 GUAC 还处于早期开发阶段。

GUAC 有以下四个关键功能：

目前你可以在 GitHub 上找到该项目的更多信息，该项目还在开发中， 目前并不完善，感兴趣的开发者也能积极参与项目开发。

原文来自：https://www.oschina.net/news/214565/google-open-source-guac

本文地址：https://www.linuxprobe.com/google-guac-linux.html编辑：xiangping wu，审核员：清蒸github

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/