gemaraproj/gemara

# Gemara：用于自动化风险评估的 GRC 工程模型 [](https://pkg.go.dev/github.com/gemaraproj/gemara) **Gemara** 是一个标准化的、机器可读的数据模型，旨在弥合高层级合规要求与底层技术证据之间的差距。通过提供结构化的 schema（由 [CUE](https://cuelang.org/) 提供支持），Gemara 支持跨安全工具链的自动化风险评估、一致的报告生成以及互操作性。 ## 资源 1. 访问 [gemara.openssf.org](https://gemara.openssf.org) 查看模型及其支持资源 2. 在本仓库或 CUE 中央 registry 中查找 schema。 - 直接配合 [cue](https://cuelang.org/) 使用这些 schema，以根据 schema 验证 Gemara 数据 payload 等。 3. 使用 Go SDK 将 Gemara schema 集成到您的自动化工具中 - `github.com/gemaraproj/go-gemara`，并请参阅我们的 [Go 文档](https://pkg.go.dev/github.com/gemaraproj/go-gemara) ## 使用 Gemara 的项目和工具 Gemara 的一些用例包括： - [FINOS Common Cloud Controls](https://www.finos.org/common-cloud-controls-project)（Layer 2） - [Open Source Project Security Baseline](https://baseline.openssf.org/)（Layer 2） - [Privateer](https://github.com/privateerproj/privateer)（Layer 5） - 例如 [OSPS Baseline Privateer Plugin](https://github.com/revanite-io/pvtr-github-repo) ## 贡献 很高兴您有此意向——请参阅 [CONTRIBUTING.md](/CONTRIBUTING.md)；如果您有任何问题或反馈，请前往 OpenSSF Slack 的 [#gemara](https://openssf.slack.com/archives/C09A9PP765Q) 频道 您也可以加入每隔一周的周四举行的双周会议。 详情请参阅 [OpenSSF 日历](https://calendar.google.com/calendar/u/0?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ) 上的 Gemara 双周会议。

标签：CUE, EVTX分析, Go SDK, GRC, 合规管理, 数据模式, 日志审计, 自动化机器可读模型