Googleのオープンソース・セキュリティ・チームはこのほど、セキュリティ専門家向けに設計されたツールGUAC(Graph for Understanding Artifact)v0.1を発表した。GUACはメタデータの合成と集約に重点を置いており、米国のサイバーセキュリティに関する大統領令に概説されている要件に対応している。このツールは、セキュリティ専門家がサプライチェーンのセキュリティ態勢を評価するのを支援することを目的としている。
GoogleオープンソースセキュリティチームのBrandon Lum氏とMihai Maruseac氏は、ブログ投稿でこの立ち上げを発表した。GUACは、多様なソースからの情報を統合することの重要性を認識し、ソフトウェア・セキュリティ・メタデータを集約し、ソフトウェア・サプライチェーンに関連する標準化されたコンセプト・ライブラリと整合させる。
サプライチェーンは日々進化しているため、GUAC は外部のデータソースから最新の脅威情報と分析を取り入れることで、データベースを継続的に更新している。これらのソースには、ソフトウェア部品表(SBOM)、ソフトウェア成果物のサプライチェーンレベル(SLSA)、OSSインサイトなどが含まれる。
/filters:no_upscale()/news/2023/07/google-announces-guac-0-1/en/resources/1GUAC_Working-1689606124982.png)
出典: GUAC Docs
企業がLog4shellにどのように反応したかを調査することで、統一されたSBOMリポジトリを維持することが組織にとって有益であることがわかった。このアプローチによって、企業は脆弱性を追跡し、それに応じて対応策を練ることが可能である。米国のサイバーセキュリティに関する大統領令に従い、ビルドとリリースのワークフロー中に多数のSBOMが生成されるため、その管理が煩雑になっている。GUACは、ドキュメントをリンクし、ヒューリスティックを使用してデータ品質を向上させることで、この課題に対処している。GUACコミュニティはSPDXと積極的に協力し、SBOMツーリングを進化させ、メタデータの精度を向上させている。
CloudNativeSecurityCon 2023のパネルディスカッションでは、GUACがSBOMを理解し、活用し、意味を導き出すための貴重なツールとして支持された。ディスカッションでは、SBOMを配布するための現在の標準的な方法がないことに加え、この分野における自動化の可能性が強調された。
Lum氏とMaruseac氏は、GUACユーザーは、信頼に基づくポリシー作成、セキュリティ侵害への迅速な対応、セキュリティインシデント発生時のアップグレードプランの作成を可能にする統合機能を開発できることを強調した。さらに、広範な分析とインシデント対応のためのCLIツールや、積極的なポリシー施行のためのIDEプラグインを作成できる。
アーリーアダプターはGUACに対してポジティブなフィードバックを提供している。ヤフーの情報セキュリティチーム(パラノイド)のソフトウェア開発エンジニアリングのシニアマネージャーであるHemil Kadakia氏は、次のように述べている。
ヤフーでは、オープンソースプロジェクトであるGUACを活用することで、計り知れない価値と大幅な効率化を実現しています。GUACのおかげで、以前には不可能だった方法でプロセスを合理化し、効率を高めることができました。
レッドハットのプリンシパル・ソフトウェア・エンジニアであり、GUACプロジェクトへの積極的な貢献者であるDejan Bosanac氏はこう語る。
さまざまなソースからデータを取り込み、認証する仕組みと、それらのデータを後でクエリするためのGraphQL APIを備えているため、現在および将来のSSCSの取り組みにとって良い基盤になると考えています。真のオープンソース・イニシアティブであり、歓迎するコミュニティがあることは、まさにプラスなのです。
興味のある読者は、コミュニティページでGUACについてもっと知ることが可能だ。