GUAC—— Google开源项目，用于保障软件供应链的安全

谷歌本周推出了一个新项目，名为”了解文物组成” ( GUAC )，旨在确保软件供应链的安全。IT巨头正在寻找新项目的贡献者。

 ” GUAC，即理解人工制品组合的图形，目前处于早期阶段，但准备改变业界对软件供应链的理解。GUAC解决了在整个生态系统中迅速发展的需求，以生成软件构建、安全和依赖元数据。

 ” GUAC的目的是使这种安全信息的可用性民主化，使其能够自由地提供给每个组织，而不仅仅是那些拥有企业规模的安全和信息技术资金的组织。

软件供应链攻击可能会产生毁灭性的后果，从攻击者的角度来看，它们更复杂，但却非常隐秘，可以针对广泛的受众。

 Log4Shell和Solarwind攻击已经证明了软件供应链攻击的效果。

 GUAC聚合来自不同来源的元数据，包括漏洞数据库、SLSA (面向软件产品的供应链层次)和软件物料清单( SBOM )。

 GUAC将软件安全元数据聚合到一个高保真图形数据库中，可以通过查询该数据库来驱动更高级别的组织结果，例如审计、策略、风险管理，甚至是开发人员协助。

对此类查询的结果进行分析，可以让组织审核与软件供应链相关的流程，分析网络风险。

根据IT巨头的说法，GUAC占据了软件供应链透明度逻辑模型的”聚合和综合”层：

GUAC具有四大功能领域，包括从多种来源收集元数据、摄取数据(关于工件、资源、漏洞等)、将数据整理成一个连贯的图以及用户查询图内实体所附带的元数据。

该项目仍处于早期阶段，Google发布的PoC可以接收SLSA、SBOM和记分卡文档，并支持简单的软件元数据查询和探索。未来，公司计划增加新的文档类型进行摄入。

项目的概念证明( PoC )可在GitHub上获得。