Googleは10月20日(米国時間)、「Google Online Security Blog: Announcing GUAC, a great pairing with SLSA (and SBOM)!」において、ソフトウェアサプライチェーンの安全性を確保するため、オープンソース・プロジェクトを立ち上げたと伝えた。

同社はソフトウェアサプライチェーンを強化するための継続的な取り組みの一環として、Graph for Understanding Artifact Composition(GUAC)と呼ばれる新たなオープンソース構想を発表し、プロジェクトへの貢献者を募集している。

Google Online Security Blog: Announcing GUAC, a great pairing with SLSA (and SBOM)!

GUACは、ソフトウェアのビルドおよびセキュリティ、依存関係などのメタデータを生成するエコシステム全体で急成長している取り組みによって生まれたニーズに対応するために立ち上げられたプロジェクト。企業規模のセキュリティやITの資金を持つ組織だけでなく、すべての組織が自由にアクセスでき、有用なものにすることでセキュリティ情報の利用を民主化することを目的にしている。

Googleは同プロジェクト立ち上げに伴い、Kusari、Purdue大学、Citiと共同でソフトウェアセキュリティのメタデータの多くの異なるソースを統合するための無料のツール「GUAC」を開発した。GUACツールはソフトウェアのセキュリティメタデータを忠実度の高いグラフデータベースに集約し、エンティティIDを正規化し、それらの間の標準的な関係をマッピングする機能を提供している。このグラフを照会することで監査、ポリシー、リスク管理、開発者支援などのより高度な組織的成果を推進することができるとされている。

an overview of the architecture of GUAC|Google Online Security Blog

GUACの詳細は、GitHubで確認することができる。GUACプロジェクトでは現在、SLSA、SBOM、Scorecardのドキュメントを取り込んでソフトウェアのメタデータの簡単なクエリと探索をサポートする初期段階の概念実証(PoC: Proof of Concept)が行われている。また次の取り組みとして、現在の機能を拡張し、新しい種類のドキュメントを取り込むことに重点を置くことが予定されている。

多くの異なるソースやフォーマットのドキュメントを消費するため、プロジェクトに助言を与えるテクニカルアドバイザリーメンバーも編成されている。メンバーにはSPDX、CycloneDX Anchore、Aquasec、IBM、Intelなどの企業や団体から代表者が参加していると発表されている。