Software Supply Chain als Graph darstellen: GUAC kurz erklärt

Google bringt ein Open-Source-Projekt zur Sicherheit der Software Supply Chain heraus. GUAC soll Metadaten zu Abhängigkeiten erfassen und als Graph darstellen.

Artikel verschenken

2

(Bild: https://github.com/guacsec/guac)

20.12.2022, 10:45 Uhr

Lesezeit: 4 Min.

iX Magazin

Von

Ulrich Wolf

Software Supply Chain als Graph darstellen: GUAC kurz erklärt
- Nützlich für Anwender und Hersteller
Schlichte Architektur

Artikel in iX 1/2023 lesen

Projekte, Programme und Initiativen rund um die Software Supply Chain Security haben Hochkonjunktur. Mit GUAC wirft Google einen weiteren Hut in den Ring, nachdem der Konzern schon im Jahr 2021 ein Framework für die Integrität der Lieferkette namens SLSA vorgestellt hat. SLSA steht für Supply Chain Levels for Software Artifacts und spricht sich nach dem Willen seiner Erfinder wie "Salsa" aus. GUAC ist dazu passend nach der in den USA üblichen Kurzform für den Guacamole-Dip benannt, ausgeschrieben bedeutet es Graph for Understanding Artifact Composition.

Die Aufgabe von GUAC ist es, Metadaten zu Softwareartefakten aus vielen verschiedenen Quellen zusammenzutragen und daraus Reports über die Abhängigkeiten eines Projekts und mögliche Sicherheitsrisiken zu liefern. Dazu generiert es Abhängigkeitsgraphen und packt sie in die Graphdatenbank neo4j.

Im Moment verdaut GUAC SBOM-Dokumente (Software Bills of Material) nach den Spezifikationen SPDX und Cyclone DX, OSSF Scorecards und SLSA-Dokumente, weitere sollen folgen. Ziel ist es, das komplette Softwareinventar von Unternehmen abzubilden und dabei öffentliche und interne Quellen zu verknüpfen. GUAC-Instanzen mit Graphen zu bestimmten Open-Source-Ökosystemen wie der Python-Welt oder Debian-Paketen sollen also öffentlich verfügbar sein.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

WOWCube: Drehbare Spielkonsole im Test

Der Zauberwürfel aus den 80ern als Spielkonsole. Der WOWCube ist ein 2×2×2-Würfel, der mit Technik vollgestopft und mit 24 Bildschirmen ausgestattet ist.

Lasercutter: Optimal Gravieren mit Lightburn auf Holz, Kunststoff und mehr

Bilder mit dem Lasercutter auf diverse Materialien zu gravieren, kann zwar je nach Vorlage kniffelig sein, aber unser Workshop bringt Sie dabei sicher zum Ziel.

LlamaIndex: Mit Dokumenten und Datenbanken in natürlicher Sprache sprechen

Mit dem Python-Framework LlamaIndex lassen sich LLMs um eigene Daten erweitern. RAG ermöglicht es, mit Dokumenten und Datenbanken zu kommunizieren.

Mit der Baureihe G60 bietet BMW den 5er erstmals auch als reines Elektroauto an.

UpdateWas 100 Kilometer mit dem Elektroauto wirklich kosten

Wer die Fahrtkosten auf den Verbrauch reduziert, unterschlägt den größten Teil der tatsächlichen Ausgaben. Das zeigt der Vergleich von zwölf Modellen.

Fahrbericht Alfa Romeo Junior: Veloce bietet 207 kW

Auch von Alfa Romeo gibt es nun ein vergleichsweise kleines SUV. Innerhalb des bekannten Angebots ragt der Junior mit einem E-Motor weit heraus.

Gehälter 2024: Das verdienen Softwareentwickler in Deutschland

Unternehmen suchen händeringend nach Softwareentwicklern. Ihr Gehalt kann sich sehen lassen, hängt aber stark von der gewählten Spezialisierung ab.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}