Open Source: Googles GUAC soll Ordnung ins Security-Metadaten-Chaos bringen
Mit dem Open-Source-Vorhaben Graph for Understanding Artifact Composition (GUAC) verschreibt sich Google einmal mehr der Absicherung von Software-Lieferketten.
Google hat mit GUAC (Graph for Understanding Artifact Composition) eine weitere Open-Source-Initiative gestartet: Das Vorhaben, ausgesprochen wie die englische Abkürzung von Guacamole, soll die aktuell noch mühsame Suche nach Security-Metadaten deutlich erleichtern und die Informationen zu Software-Abhängigkeiten an einer Stelle sammeln. Damit soll GUAC einen Beitrag zur Absicherung der Software-Lieferketten leisten.
Derzeit befinde sich GUAC noch in der Anfangsphase. Google verkündet jedoch selbstbewusst: "(GUAC) wird aber die Art und Weise, wie die Branche Software-Lieferketten versteht, verändern". Das soll gelingen, indem das Projekt die Verfügbarkeit von Security-Informationen "demokratisiert", wie Google weiter schreibt, indem es diese Information nicht nur solchen Unternehmen zugänglich macht, die eigene Cyber-Security-Abteilungen unterhalten können.
Zwar gebe es erfreulicherweise im Upstream der Software-Supply-Chain inzwischen reichhaltige Security-Metadaten und -Bescheinigungen. Dazu zählen neben Software Bills of Materials auch signierte Zertifikate zum Aufbau der Software sowie Schwachstellen-Datenbanken. Es sei bislang aber kaum möglich, diese bereitgestellten Informationen über alle eingesetzten Software-Produkte an einer Stelle zu vereinigen – zumal Schwachstellen an einer Stelle des Stacks Auswirkungen auf andere Teile haben könnten.
GUAC: Vier zentrale Funktionen
GUAC soll deshalb diese Daten aggregieren, sie verarbeiten und in einer High-Fidelity-Graph-Datenbank sammeln. Dadurch soll es einen ganzheitlichen Überblick über die Software-Infrastruktur liefern. Das Projekt arbeitet auf vier Ebenen: das Einsammeln der Daten, entweder aus offenen Datenquellen, internen Quellen oder auch proprietärer Drittanbieter (Collection), der Import der Daten in GUAC (Ingestion), das Aufbereiten und Normalisieren der rohen Metadaten in einen "kohärenten Graph" (Collation) und abschließend die Abfrage (Query). Bislang funktioniert das allerdings noch nur im kleinen Maßstab: Ein Proof of Concept erlaubt es lediglich "einen kleinen Datensatz von Software-Metadaten abfragen (zu) können, einschließlich SLSA-Provenance, SBOMs und OpenSSF Scorecards."
Für das neue Projekt hat Google sich bislang mit Kusari, der amerikanische Universität Purdue und dem Citibank zusammengetan. Gleichzeitig ruft das Unternehmen jedoch dazu auf, zu dem Open-Source-Projekt beizutragen. Der bisherige Code von GUAC steht bei Github bereit. Im nächsten Schritt, so Google im Blogpost, wolle man sich auf die weitere Skalierung der bereits verfügbaren Features konzentrieren und neue Dokumenten-Typen für die Ingestion möglich machen. Schon bei der Hausmesse Google Next hatte das Unternehmen eine neue Software-Suite zur Absicherung von Software-Lieferketten angekündigt.
(jvo)