GUAC: die Software Supply Chain als Graph

Projekte, Programme und Initiativen rund um die Software Supply Chain Security haben Hochkonjunktur. Mit GUAC wirft Google einen weiteren Hut in den Ring, nachdem der Konzern schon im vergangenen Jahr ein Framework für die Integrität der Lieferkette namens SLSA vorgestellt hat. SLSA steht für Supply Chain Levels for Software Artifacts und spricht sich nach dem Willen seiner Erfinder wie „Salsa“ aus. GUAC ist dazu passend nach der in den USA üblichen Kurzform für den Guacamole-Dip benannt, ausgeschrieben bedeutet es Graph for Understanding Artifact Composition.

Metadaten – gesammelt und verknüpft

Die Aufgabe von GUAC ist es, Metadaten zu Softwareartefakten aus vielen verschiedenen Quellen zusammenzutragen und daraus Reports über die Abhängigkeiten eines Projekts und mögliche Sicherheitsrisiken zu liefern. Dazu generiert es Abhängigkeitsgraphen und packt sie in die Graphdatenbank neo4j. Im Moment verdaut GUAC SBOM-Dokumente (Software Bills of Material) nach den Spezifikationen SPDX und Cyclone DX [1], OSSF Scorecards und SLSA-Dokumente, weitere sollen folgen. Ziel ist es, das komplette Softwareinventar von Unternehmen abzubilden und dabei öffentliche und interne Quellen zu verknüpfen. GUAC-Instanzen mit Graphen zu bestimmten Open-Source-Ökosystemen wie der Python-Welt oder Debian-Paketen sollen also öffentlich verfügbar sein.