谷歌开源安全团队最近推出了 GUAC（Graph for Understanding Artifact）v0.1，这是一款面向安全专业人员的工具。GUAC 专注于元数据的合成和聚合，可以满足美国网络安全行政令中所概述的安全性要求，旨在帮助安全专家评估供应链的安全态势。

谷歌开源安全团队的 Brandon Lum 和 Mihai Maruseac 在一篇博文中宣布推出该工具。GUAC 意识到整合来自各种数据源的信息的重要性，因此，他们聚合软件安全元数据，并将其与适用于软件供应链的标准化概念库对齐。

随着供应链每天都在发生变化，GUAC 通过从外部数据源获取最新的威胁信息和分析结果来持续更新其数据库。这些数据源包括软件材料清单（SBOM）、软件工件供应链级别（SLSA）和 OSS 见解。

来源：GUAC 文档

通过研究企业对 Log4shell 的反应，我们发现，维护统一的 SBOM 存储库对组织是有利的。这种方法使得他们能够跟踪漏洞并相应地制定应对策略。为了遵循美国网络安全行政令，在构建和发布工作流程中生成大量 SBOM 会让管理任务变得繁杂。为了解决这个问题，GUAC 通过链接文档和使用启发式方法来提高数据质量。GUAC 社区正在与 SPDX 积极合作来推进 SBOM 工具的开发工作以及提高元数据的准确性。

在 CloudNativeSecurityCon 2023 的一场小组讨论中，GUAC 被认为是一种可以理解、利用和从 SBOM 中派生含义的有价值的工具。讨论还强调了目前还没有标准的 SBOM 分发方法，所以有通过自动化来实现分发的潜力。

Lum 和 Maruseac 强调，GUAC 用户有能力开发集成方式，基于信任来制定策略，对安全漏洞做出及时响应，并在发生安全事件时制定升级计划。此外，他们可以构建 CLI 工具进行广泛的分析和事件响应，以及构建 IDE 插件进行预防性策略实施。

早期采用者对 GUAC 给予了积极的反馈。雅虎信息安全团队（Paranoids）高级软件开发工程经理 Hemil Kadakia 说：

“在雅虎，我们通过使用开源项目 GUAC 获得了巨大的价值和显著的效率提升。GUAC 帮助我们精简流程并提高效率，这在以前是不可能的。”

Red Hat 首席软件工程师 Dejan Bosanac（同时也是 GUAC 项目的积极贡献者）说：

“有了摄取和认证各种数据源数据的机制，以及查询这些数据的 GraphQL API，我们将其视为当前和未来 SSCS 工作的基础。作为一个真正的开源项目并拥有受欢迎的社区会是一种锦上添花。”

感兴趣的读者可以通过社区网页上提到的不同方式了解更多关于 GUAC 的信息。

原文链接：

https://www.infoq.com/news/2023/07/google-announces-guac-0-1/