谷歌周三宣布了0.1 Beta 版本的GUAC（Graph for Understanding Artifact Composition 的縮寫），供組織保護其軟件供應鏈。

為此，這家搜索巨頭將開源框架作為 API 提供給開發人員，以集成他們自己的工具和策略引擎。

了解工件構成圖 (GUAC) 為您提供了對軟件供應鏈安全狀況的有條理且可操作的見解。GUAC 吸收軟件安全元數據，如 SBOM，并繪制出軟件之間的關系，以便您可以充分了解您的軟件安全位置。使用 GUAC，您可以推動更高級別的組織成果，例如審計、政策、風險管理，甚至開發人員協助。

GUAC 如何運作

GUAC旨在將來自不同來源的軟件安全元數據聚合到一個圖形數據庫中，該圖形數據庫映射出軟件之間的關系，幫助組織確定一個軟件如何影響另一個軟件。

“用于理解工件組成的圖表 ( GUAC ) 為您提供了對軟件供應鏈安全位置的有條理和可操作的見解，”谷歌在其文檔中說。

“GUAC 攝取軟件安全元數據，如 SBOM，并繪制出軟件之間的關系，以便您可以充分了解您的軟件安全位置。”

換句話說，它旨在將軟件材料清單 (SBOM) 文檔、SLSA 證明、OSV 漏洞源、deps.dev 見解和公司的內部私有元數據匯集在一起，以幫助更好地描繪風險概況并可視化關系在工件、包和存儲庫之間。

有了這樣的設置，目標是應對備受矚目的供應鏈攻擊，制定補丁計劃，并迅速應對安全威脅。

“例如，GUAC 可用于證明構建器受到損害（例如，通過憑據泄漏或惡意軟件的攝入），然后查詢受影響的工件，”谷歌說。

“這使 [首席信息安全官] 能夠輕松制定政策，禁止使用爆炸半徑內的任何軟件。”