GUAC加入OpenSSF成为孵化项目

GUAC（Graph for Understanding Artifact Composition）已加入开源安全基金会（OpenSSF）作为孵化项目。GUAC提供了一个工具和底层API，用于分析和可视化软件材料清单（SBOM），并结合威胁情报源来确定漏洞是否影响应用程序。

项目背景与发展

自InfoQ报道GUAC的初始发布以来，该项目已发展到50名贡献者、300名社区成员和超过1,100个GitHub星标。GUAC由Kusari、Google、普渡大学和花旗银行创建，并得到包括雅虎、微软、红帽、Guidewire和ClearAlpha Technologies在内的金融服务和科技公司的支持。

SBOM与GUAC的作用

SBOM已成为热门话题，特别是自其纳入美国总统行政命令14028《改善国家网络安全》以来，出现了SPDX和CycloneDX等竞争标准。GUAC支持这两种格式，并能将其转换为数据节点和关系，提供对软件及其依赖项的洞察。GUAC还能摄取和转换软件工件的供应链级别（SLSA）证明，提供软件组件来源和完整性的视图。

GUAC的应用场景

1. 建立连接与合规性：包括确定组织内的所有权，定位应用程序符合政策的证据，查找缺失的SBOM或SLSA证明，并可视化SBOM差异以显示版本之间的变化。
2. 揭示软件供应链中的漏洞：从识别最常用的关键组件开始，找到暴露于风险依赖项的机会，从而在妥协发生之前进行预防。同时，跟踪生产中的所有二进制文件是否可以追溯到安全管理的存储库。
3. 检测与响应威胁：GUAC可以指示不良包或漏洞的爆炸半径，并提供信息以制定修复计划。它还可以追踪可疑事件到其引入的时间。

未来展望

GUAC是第一个正式通过OpenSSF项目生命周期中“重大障碍”尽职调查的项目，遵循了类似Linux基金会项目（如云原生计算基金会，CNCF）的路径。其灵活性和插件架构使其成为帮助用户实现不同级别合规性的重要工具。