GUAC(GraphforUnderstandingArtifactComposition)是一个由Google、Kusari、普渡大学和花旗银行合作开发的项目,主要针对软件供应链。
GUAC可以将许多不同来源的软件安全元数据结合起来,GUAC的目的是使软件构建、安全和依赖性元数据信息具有更广泛的可用性,使每个组织都能免费获得这些信息,而不仅仅是那些行业顶尖的企业组织。
GUAC有以下四个关键功能:
收集:可以配置GUAC,并将其连接到各种软件安全元数据的信息来源(包括:公开、内部,以及合作的第三方数据来源)。摄取:GUAC从其上游数据源导入关于工件、项目、资源、漏洞、存储库甚至开发者的数据。整理:从不同的上游数据源摄取原始元数据后,GUAC通过规范实体标识符、遍历依赖树等,将其组合成一个连贯的图表。查询:对照整理好的图表,用户可以查询附属于图中实体或与之相关的元数据。查询一个给定的工件可以返回它的SBOM、出处、漏洞和最近的生命周期事件,以及那些与之相关的依赖关系。注意:GUAC仍然在积极开发中,如果你对贡献感兴趣,请查看贡献者指南。
评论