軟體安全評估工具GUAC現成為OpenSSF旗下專案

軟體安全評估工具GUAC現在轉移至OpenSSF成為孵化專案，該專案能夠評估軟體供應鏈安全，提供相依性管理和安全操作建議。GUAC是由Kusari、Google、普渡大學和花旗共同創建，並且獲得微軟、紅帽與Yahoo!等企業的採用與支持。

GUAC專案在2022年10月公開，該專案的目的是要提高組織軟體供應鏈的可觀察性，透過了解應用程式中元件的相依性，明確掌握特定漏洞的影響範圍。GUAC可涵蓋所有第一方、第三方和開源軟體，藉由將軟體安全後設資料聚合到圖資料庫中，以定位、儲存、分析和關聯軟體構件資料。

企業能夠運用GUAC梳理軟體清單中的所有元件，並找出之間的關係，用戶可以了解軟體間相依關係，以及是否符合安全標準和法規。由於軟體供應鏈通常很複雜，可能包含許多不同來源的元件，GUAC可以協助用戶發現缺少重要資訊的元件，像是軟體材料清單（SBOM）或是其他安全相關資料等，以便將注意擺在真正需要關注的部分。

GUAC藉由分析供應鏈資料，可協助用戶辨識出潛在威脅，像是存在漏洞的元件，抑或是來自不可靠來源的軟體，使用戶能夠快速反應，進行軟體更新或是移除受影響的元件。GUAC可擷取各種來源和格式，包含內部和外部系統，格式則涵蓋多種常見後設資料檔案類型，諸如SBOM、SLSA，還有deps.dev和OSV API來源的後設資料。

GUAC專案經過一段時間發展後，主要貢獻者決定將其轉移至OpenSSF。OpenSSF是一個重要的開放原始碼基金會，專注於保護開放原始碼以及軟體供應鏈安全。該基金會將會提供各種計畫和服務支援GUAC，除了引入領域專家協助開發GUAC的新功能之外，OpenSSF也計畫與多個軟體供應鏈小組和專案合作，包括SLSA、VEX、OSV、deps.dev與Scorecard等，以提供重要資料給GUAC。