【资料图】

软件供应链安全是目前很多议程中的重中之重，自从Log4j漏洞被发现和美国关于网络安全的行政命令下达以来更是如此。Google正在为一个新的开源项目寻求贡献者，该项目名为GUAC（理解工件构成的图形），虽然处于早期阶段，但准备改变该行业对软件供应链的理解方式。

GUAC的目的是为软件构建、安全和依赖性元数据信息提供充分可用性，让每个组织都能免费获得这些信息，并对其有用，而不仅仅是那些拥有企业规模的安全和IT资金的组织。尽管各组织目前可以获得软件材料清单、漏洞数据库和其他信息来源，但很难将这些信息结合起来并加以综合，以获得一个更全面的观点。

Google与Kusari、普渡大学和花旗银行合作创建了GUAC，这是一个免费的工具，可以将许多不同来源的软件安全元数据结合起来。GUAC有四个关键功能。

收集 -- GUAC可以被配置为连接到各种软件安全元数据的来源。一些来源可能是公开的和公共的（如OSV）；一些可能是第一方的（如一个组织的内部存储库）；一些可能是专有的第三方的（如来自数据供应商）。

摄取 -- GUAC从其上游数据源导入关于工件、项目、资源、漏洞、存储库甚至开发者的数据。

整理 -- 从不同的上游数据源摄取原始元数据后，GUAC通过规范实体标识符、遍历依赖树和重新确定隐含的实体关系，将其组合成一个连贯的图谱。

查询 -- 对照组装好的图谱，用户可以查询附属于图中实体或与之相关的元数据。查询一个给定的工件可以返回它的SBOM、出处、构建链、项目记分卡、漏洞和最近的生命周期事件--以及那些与之相关的依赖关系。

你可以在GitHub上找到更多关于这个项目的信息并参与进来，GUAC团队也将在下周的Kubecon NA 2022上展示这个项目：

https://github.com/guacsec/guac

标签： Google Google上线开放源码项目GUAC 旨在促进供应