…aterials）やGUACといった関連するツールや仕様について言及してきました。 techblog.ap-com.co.jp techblog.ap-com.co.jp 昨今セキュリティという点では実行環境のセキュリティに加え、SBoMやGUACなどのSoftware Supply Chaiin Securityに注目が集まってます。 今回のOpenSSF Day Japanにおいても、さまざまな技術要素の紹介は当然として、日本の経済産業省やIPAなどの公的機関によるSof…

… : そこで、今回はGUAC(Graph for Understanding Artifact Composition)という グラフでSBOMを管理することができるOSSツールで可視化してみました。 github.com アーキテクチャは以下のようになっており、GUACはSBOMやSLSAなどのデータを取り込み、 GraphQL言語でクエリを実行して可視化を行います。 この時、コンポーネント、ライブラリ、ツール、およびプロセスなどの部品を同士を繋ぎ、 それらの関係性をグラフ…

…解になるものとして、GUACというものがあります。つい先日発表になったばかりだそうです。 security.googleblog.com こちらでグラフィカルに依存関係などを確認することができます。 さらに、Software Supply Chainそのものを定義・提供するOSSも登場しています。 それが Cartographer です。これにより、Supply Chainをマネジメントすることも可能になってくるようです。 cartographer.sh SBoMについては事…