A Google közreműködőket keres a GUAC (Graph for Understanding Artifact Composition) nevű új nyílt forráskódú projekthez, amely bár még korai stádiumban van, de megváltoztathatja a szoftverellátási láncok értelmezését az iparágban. A GUAC célja, hogy demokratizálja a szoftverek felépítésével, biztonságával és függőségével kapcsolatos metaadatokra vonatkozó információk elérhetőségét, szabadon hozzáférhetővé és hasznossá téve azokat minden szervezet számára, nem csak a vállalati szintű biztonsággal és IT-finanszírozással működő szervezetek számára.
Bár a szervezetek jelenleg hozzáférnek a szoftverek anyagjegyzékéhez, a sebezhetőségi adatbázisokhoz és más információforrásokhoz, ezeket nehéz kombinálni és szintetizálni annak érdekében, hogy átfogóbb képet kapjanak.
A Google a Kusari, a Purdue University és a Citi vállalatokkal összefogva létrehozta a GUAC-ot, egy ingyenes eszközt, amely a szoftverbiztonsági metaadatok számos különböző forrását egyesíti. A GUAC-nak négy fő funkciója van:
• Gyűjtés: A GUAC úgy konfigurálható, hogy a szoftverbiztonsági metaadatok különböző forrásaihoz kapcsolódjon. Néhány forrás lehet nyílt és nyilvános (pl. OSV); néhány lehet első féltől származó (pl. egy szervezet belső tárolói); néhány lehet védett harmadik féltől származó (pl. adatszolgáltatóktól származó).
• Bevitel: A GUAC a felmenő adatforrásokból importálja az artifaktokra, projektekre, erőforrásokra, sebezhetőségekre, tárolókra és még a fejlesztőkre vonatkozó adatokat is.
• Összeállítás: A GUAC a különböző upstream forrásokból származó nyers metaadatok beolvasztása után az entitások azonosítóinak normalizálásával, a függőségi fa végigjárásával és az implicit entitási kapcsolatok újraértelmezésével koherens gráffá állítja össze azokat.
• Lekérdezés: Az összerakott gráf alapján a felhasználók lekérdezhetik a gráfban szereplő entitásokhoz csatolt vagy azokhoz kapcsolódó metaadatokat. Egy adott artifaktra vonatkozó lekérdezés megadhatja annak SBOM-ját, származását, összeállítási láncát, projektértékelő lapját, sebezhetőségeit és legutóbbi életciklusbeli eseményeit, csakúgy a tranzitív függőségeit.
