Mit dem Open-Source-Projekt Graph for Understanding Artifact Composition (GUAC) will Google Metadaten zur Softwaresicherheit in einer Graphdatenbank zusammenführen. Dort sollen die Daten normalisiert und Beziehungen zwischen ihnen sichtbar werden.

Durch die Abfrage dieser Graphen sollen dann übergeordneten organisatorische Ergebnissen wie Audits, Richtlinien, Risikomanagement und sogar Entwicklerunterstützung möglich werden, teilt Google mit. Google arbeitet bei der Entwicklung des kostenlosen Tools unter anderem mit der Purdue University zusammen.

GUAC lasse sich so konfigurieren, dass es sich mit einer Vielzahl von Quellen für Software-Sicherheitsmetadaten verbindet. Einige Quellen können offen und öffentlich sein, wie OSV, einige können von Dritten stammen, etwa interne Repositories einer Organisation.

Nach der Aufnahme von Rohmetadaten aus den verschiedenen Quellen füge GUAC diese zu einem kohärenten Graphen zusammen, indem es die Entitätsbezeichner normalisiere, den Abhängigkeitsbaum durchlaufe und die impliziten Entitätsbeziehungen wiederherstelle.

GUAC ist als Open-Source-Projekt auf Github zu finden. Laut Google befindet es sich in der Anfangsphase und  bietet derzeit einen Proof of Concept, mit dem sich SLSA-, SBOM- und Scorecard-Dokumente aufnehmen lassen und der einfache Abfragen und die Erforschung von Software-Metadaten unterstützt.

Der Beitrag Graphdatenbank GUAC soll Software Supply Chain sicherer machen erschien zuerst auf Linux-Magazin.