GUAC
定義
SBOM、署名、脆弱性、VEX、来歴などのソフトウェア供給網メタデータを取り込み、成果物・依存関係・リスクの関係をグラフとして照会するオープンソースプロジェクト。
詳細解説
GUACはSBOMを生成するツールそのものではなく、複数形式のメタデータを統合して「どの成果物が何に依存し、どの情報と結び付くか」を調べる基盤です。取り込んだ情報の出所と鮮度を保ち、結果をパッチ判断へ直結させすぎないようにします。
ポイント
- 初心者向けには「SBOMや脆弱性情報をつなぎ、依存関係をたどれる地図」と捉える
- データの関連付けを支援するが、影響有無や修正優先度を自動で確定するものではない
- VEXや署名などを併用し、成果物名だけでなく識別子と出所を管理する
関連用語
よくある質問
GUACとは?
SBOM、署名、脆弱性、VEX、来歴などのソフトウェア供給網メタデータを取り込み、成果物・依存関係・リスクの関係をグラフとして照会するオープンソースプロジェクト。
GUACについて詳しく知るには?
GUACはSBOMを生成するツールそのものではなく、複数形式のメタデータを統合して「どの成果物が何に依存し、どの情報と結び付くか」を調べる基盤です。取り込んだ情報の出所と鮮度を保ち、結果をパッチ判断へ直結させすぎないようにします。
GUACのポイントは?
初心者向けには「SBOMや脆弱性情報をつなぎ、依存関係をたどれる地図」と捉える データの関連付けを支援するが、影響有無や修正優先度を自動で確定するものではない VEXや署名などを併用し、成果物名だけでなく識別子と出所を管理する
同じカテゴリの用語(ツール・製品)
複数のLLM APIやAI利用を中継し、認証、監査、レート制限、ポリシー、コスト管理を集約するゲートウェイ。…
複数のAPIへの入口を集約し、認証、ルーティング、レート制限、ログ取得などを担う中継コンポーネント。…
コンテナイメージ、パッケージ、ビルド成果物などを保存・配布するためのレジストリ。…
想定された攻撃シナリオを安全な範囲で継続的に実行し、防御・検知・制御の有効性を検証する仕組み。…
クラウド上で暗号鍵を作成、保管、利用、監査する鍵管理サービスの総称。…
AWSアカウント内のAPI操作や管理イベントを記録する監査ログサービス。誰が何を変更したかの追跡に使う。…