Google hat mit GUAC (Graph for Understanding Artifact Composition) eine weitere Open-Source-Initiative gestartet: Das Vorhaben, ausgesprochen wie die englische Abkürzung von Guacamole, soll die aktuell noch mühsame Suche nach Security-Metadaten deutlich erleichtern und die Informationen zu Software-Abhängigkeiten an einer Stelle sammeln. Damit soll GUAC einen Beitrag zur Absicherung der Software-Lieferketten leisten. Derzeit befinde sich GUAC noch in der Anfangsphase. Google verkündet jedoch selbstbewusst: "(GUAC) wird aber die Art und Weise, wie die Branche Software-Lieferketten versteht, verändern". Das soll gelingen, indem das Projekt die Verfügbarkeit von Security-Informationen "demokratisiert", wie Google weiter schreibt, indem es diese Information nicht nur solchen Unternehmen zugänglich macht, die eigene Cyber-Security-Abteilungen unterhalten können. Zwar gebe es erfreulicherweise im Upstream der Software-Supply-Chain inzwischen reichhaltige Security-Metadaten und -Bescheinigungen. Dazu zählen neben Software Bills of Materials auch signierte Zertifikate zum Aufbau der Software sowie Schwachstellen-Datenbanken. Es sei bislang aber kaum möglich, diese bereitgestellten Informationen über alle eingesetzten Software-Produkte an einer Stelle zu vereinigen – zumal Schwachstellen an einer Stelle des Stacks Auswirkungen auf andere Teile haben könnten. Lesen Sie auch Drei Fragen und Antworten: Warum es jetzt so viele Angriffe auf Open Source gibtiX Magazin SBOMs: Wie Stücklisten für Software funktionierenheise_plus_positiviX Magazin GUAC: Vier zentrale Funktionen GUAC soll deshalb diese Daten aggregieren, sie verarbeiten und in einer High-Fidelity-Graph-Datenbank sammeln. Dadurch soll es einen ganzheitlichen Überblick über die Software-Infrastruktur liefern. Das Projekt arbeitet auf vier Ebenen: das Einsammeln der Daten, entweder aus offenen Datenquellen, internen Quellen oder auch proprietärer Drittanbieter (Collection), der Import der Daten in GUAC (Ingestion), das Aufbereiten und Normalisieren der rohen Metadaten in einen "kohärenten Graph" (Collation) und abschließend die Abfrage (Query). Bislang funktioniert das allerdings noch nur im kleinen Maßstab: Ein Proof of Concept erlaubt es lediglich "einen kleinen Datensatz von Software-Metadaten abfragen (zu) können, einschließlich SLSA-Provenance, SBOMs und OpenSSF Scorecards." Für das neue Projekt hat Google sich bislang mit Kusari, der amerikanische Universität Purdue und dem Citibank zusammengetan. Gleichzeitig ruft das Unternehmen jedoch dazu auf, zu dem Open-Source-Projekt beizutragen. Der bisherige Code von GUAC steht bei Github bereit. Im nächsten Schritt, so Google im Blogpost, wolle man sich auf die weitere Skalierung der bereits verfügbaren Features konzentrieren und neue Dokumenten-Typen für die Ingestion möglich machen. Schon bei der Hausmesse Google Next hatte das Unternehmen eine neue Software-Suite zur Absicherung von Software-Lieferketten angekündigt. (jvo) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Google hat mit GUAC (Graph for Understanding Artifact Composition) eine weitere Open-Source-Initiative gestartet: Das Vorhaben, ausgesprochen wie die englische Abkürzung von Guacamole, soll die aktuell noch mühsame Suche nach Security-Metadaten deutlich erleichtern und die Informationen zu Software-Abhängigkeiten an einer Stelle sammeln. Damit soll GUAC einen Beitrag zur Absicherung der Software-Lieferketten leisten. Derzeit befinde sich GUAC noch in der Anfangsphase. Google verkündet jedoch selbstbewusst: "(GUAC) wird aber die Art und Weise, wie die Branche Software-Lieferketten versteht, verändern". Das soll gelingen, indem das Projekt die Verfügbarkeit von Security-Informationen "demokratisiert", wie Google weiter schreibt, indem es diese Information nicht nur solchen Unternehmen zugänglich macht, die eigene Cyber-Security-Abteilungen unterhalten können. Zwar gebe es erfreulicherweise im Upstream der Software-Supply-Chain inzwischen reichhaltige Security-Metadaten und -Bescheinigungen. Dazu zählen neben Software Bills of Materials auch signierte Zertifikate zum Aufbau der Software sowie Schwachstellen-Datenbanken. Es sei bislang aber kaum möglich, diese bereitgestellten Informationen über alle eingesetzten Software-Produkte an einer Stelle zu vereinigen – zumal Schwachstellen an einer Stelle des Stacks Auswirkungen auf andere Teile haben könnten. Lesen Sie auch Drei Fragen und Antworten: Warum es jetzt so viele Angriffe auf Open Source gibtiX Magazin SBOMs: Wie Stücklisten für Software funktionierenheise_plus_positiviX Magazin GUAC: Vier zentrale Funktionen GUAC soll deshalb diese Daten aggregieren, sie verarbeiten und in einer High-Fidelity-Graph-Datenbank sammeln. Dadurch soll es einen ganzheitlichen Überblick über die Software-Infrastruktur liefern. Das Projekt arbeitet auf vier Ebenen: das Einsammeln der Daten, entweder aus offenen Datenquellen, internen Quellen oder auch proprietärer Drittanbieter (Collection), der Import der Daten in GUAC (Ingestion), das Aufbereiten und Normalisieren der rohen Metadaten in einen "kohärenten Graph" (Collation) und abschließend die Abfrage (Query). Bislang funktioniert das allerdings noch nur im kleinen Maßstab: Ein Proof of Concept erlaubt es lediglich "einen kleinen Datensatz von Software-Metadaten abfragen (zu) können, einschließlich SLSA-Provenance, SBOMs und OpenSSF Scorecards." Für das neue Projekt hat Google sich bislang mit Kusari, der amerikanische Universität Purdue und dem Citibank zusammengetan. Gleichzeitig ruft das Unternehmen jedoch dazu auf, zu dem Open-Source-Projekt beizutragen. Der bisherige Code von GUAC steht bei Github bereit. Im nächsten Schritt, so Google im Blogpost, wolle man sich auf die weitere Skalierung der bereits verfügbaren Features konzentrieren und neue Dokumenten-Typen für die Ingestion möglich machen. Schon bei der Hausmesse Google Next hatte das Unternehmen eine neue Software-Suite zur Absicherung von Software-Lieferketten angekündigt. (jvo) Zur Startseite