최근 공급망 보안의 중요성이 대두되면서 여러 관련 정보를 담은 데이터베이스들이 생성되고 있다. 구글은 많은 데이터베이스가 흩어져 있고, 서로 같은 생태계에 있지 않는다는 점에 주목해 이를 모아 가시성을 높여주는 오픈소스를 개발했다.
구글은 최근 'GUAC(Graph for Understanding Artifact Composition)'이라는 이름의 새로운 깃허브 오픈소스 프로젝트를 공개했다. GUAC은 소프트웨어 보안 메타데이터 소스를 통합하는 무료 도구다.
최근 공급망 보안의 중요성이 대두되면서, 이와 관련된 여러 유용한 데이터들이 생겨나고 있다. 오픈소스소프트웨어보안재단(오픈SSF), 소프트웨어 아티팩트 공급망 수준(SLSA), SPDX, 사이클론DX와 같은 그룹 커뮤니티 협업으로 소프트웨어 자재명세서(SBOM), 소프트웨어 구축 방법에 대한 서명된 증명, 에코시스템 정보를 수집해 취약점을 쉽게 찾을 수 있게 만다는 취약성 데이터베이스와 같은 데이터를 수집할 수 있다.
이러한 데이터는 그 자체로 공급망 보안에 있어서 매우 유용한 정보를 제공하지만, 보다 포괄적인 시각으로 보기 위해서는 이들의 정보를 결합하고 합성해 보는 것이 필요하다.
그러나 현재 상황에서는 이 문서들이 서로 다른 데이터베이스에 흩어져 있고 서로 다른 생태계 단체에 붙어 있어 쉽게 이들 데이터를 모아서 보기는 어려운 상황이다.
이를 해결하기 위해 구글은 쿠사리(Kusari), 퍼듀대학교, 씨티(Citi)와 팀을 이뤄 소프트웨어 보안 메타데이터 소스를 통합하는 무료 도구 'GUAC'을 만들었다.
구글은 GUAC을 통해 SBOM, 오픈SSF 스코어카드, SLSA 증명 등을 비롯한 소프트웨어 메타데이터의 스몰 데이터셋을 쿼리할 수 있다고 설명했다.
GUAC은 ▲컬렉션(Collection) ▲수집(Ingestion) ▲데이터정렬(Collation) ▲쿼리(Query) 4가지 주요 기능을 갖췄다.
먼저 GUAC은 OSV와 같은 퍼블릭에 있는 소스와 조직의 내부 저장소에 있는 소스, 데이터 공급업체가 갖고 있는 소스 등을 연결한다.
이후 업스트림 데이터 소스에서 아티팩트, 프로젝트, 리소스, 취약성, 저장소, 개발자에 대한 데이터를 가져온다.
서로 다른 업스트림 소스에서 메타데이터를 수집한 GUAC은 엔티티 식별자를 정규화하고, 암묵적인 엔티티 관계를 구체화해 논리적인 그래프로 조립한다.
사용자는 조립된 그래프에 대해 그래프 내의 관련 메타 데이터를 쿼리할 수 있다.
GUAC 프로젝트는 현재 SLSA, SBOM, 스코어카드 문서를 수집하고 소프트웨어 메타데이터의 간단한 쿼리 및 탐색을 지원할 수 있는 개념증명을 하는 초기 단계에 있다.
관련기사
- 과기정통부, '제로트러스트·공급망 보안' 포럼 발족2022.10.26
- 태니엄 "신속, 광범위한 통합 엔드포인트 관리로 한국 공략”2022.09.28
- 스패로우, SW 공급망 보안 강화 위해 SBOM 지원2022.06.16
- 구글, 오픈소스 생태계 보안패치 지원한다2022.05.17
구글은 GUAC을 통해 산업이 소프트웨어 공급망을 이해하는 방식을 바꿀 것이라고 기대했다.
구글은 "GUAC은 소프트웨어 보안 메타데이터를 대규모로 집계 및 합성해 의미 있고 실행 가능하게 만든다"며 "GUAC을 사용하면 소프트웨어 공급망 생태계에서 가장 많이 사용되는 구성 요소는 무엇인지 등 사전 예방에 필요한 질문들을 비롯해 운영, 사후 대응 등에 필요한 질문들에 답할 수 있다"고 설명했다.
