メインコンテンツへスキップ
ツール・製品

GUAC

Graph for Understanding Artifact Composition

SBOM、署名、脆弱性、VEX、来歴などのソフトウェア供給網メタデータを取り込み、成果物・依存関係・リスクの関係をグラフとして照会するオープンソースプロジェクト。

GUACはSBOMを生成するツールそのものではなく、複数形式のメタデータを統合して「どの成果物が何に依存し、どの情報と結び付くか」を調べる基盤です。取り込んだ情報の出所と鮮度を保ち、結果をパッチ判断へ直結させすぎないようにします。

  • 初心者向けには「SBOMや脆弱性情報をつなぎ、依存関係をたどれる地図」と捉える
  • データの関連付けを支援するが、影響有無や修正優先度を自動で確定するものではない
  • VEXや署名などを併用し、成果物名だけでなく識別子と出所を管理する

よくある質問

GUACとは?

SBOM、署名、脆弱性、VEX、来歴などのソフトウェア供給網メタデータを取り込み、成果物・依存関係・リスクの関係をグラフとして照会するオープンソースプロジェクト。

GUACについて詳しく知るには?

GUACはSBOMを生成するツールそのものではなく、複数形式のメタデータを統合して「どの成果物が何に依存し、どの情報と結び付くか」を調べる基盤です。取り込んだ情報の出所と鮮度を保ち、結果をパッチ判断へ直結させすぎないようにします。

GUACのポイントは?

初心者向けには「SBOMや脆弱性情報をつなぎ、依存関係をたどれる地図」と捉える データの関連付けを支援するが、影響有無や修正優先度を自動で確定するものではない VEXや署名などを併用し、成果物名だけでなく識別子と出所を管理する

← 用語集一覧に戻る
ESC