Skip to content

歴史

起源

GUAC は Kusari、Google、Purdue University、Citi の共同で作られ、GitHub リポジトリは 2022-06-10 に作成された (GitHub API created_at)。発端となった課題は、SBOM や attestation の生成量は増える一方で、それらが孤立して存在するため、ポートフォリオ全体にまたがる問い (「どのアーティファクトがこの脆弱性の影響を受けるか」) にうまく答えられなかったことである。GUAC は「集約と統合 (aggregation and synthesis)」レイヤを埋めるよう設計され、多数のドキュメントに外部メタデータ (deps.dev、OSV、ClearlyDefined) を組み合わせて、監査・ポリシー・リスクのツールがクエリできる 1 つのグラフにまとめる (README)。

年表

マイルストーン
2022GitHub リポジトリ作成。Kusari・Google・Purdue・Citi の創設コラボレーション
2024OpenSSF に incubating プロジェクトとして参加。Supply Chain Integrity WG 配下 (2024-03-07)
2026Red Hat が Trustify プロジェクトを GUAC コミュニティへコントリビュート

どう進化したか

最も明確なガバナンスの転換は OpenSSF 入りである。2024-03-07 に GUAC は OpenSSF の incubating プロジェクトとして受理され、OpenSSF のプロジェクトライフサイクルにおいて incubating の due diligence レビューを最初に通過したプロジェクトとされる (OpenSSF ブログ、InfoQ)。これによりプロジェクト README に記載のある Supply Chain Integrity WG 配下に置かれた。

GUAC を取り巻くエコシステムは統合が進んでいる。2026 年に Red Hat は自社の Trustify プロジェクトを GUAC コミュニティへコントリビュートし (Red Hat ブログ)、隣接するサプライチェーンの取り組みを競合ではなく同じ傘の下に持ち込んだ。

現在地

GUAC は OpenSSF の incubating プロジェクトとして活発に開発中であり、README 自身がそう明記して Supply Chain Integrity WG へコントリビュータを誘導している。ドキュメント基準コミット時点のリポジトリは Go 1.26 を対象とし、5 つの CLI バイナリと複数のストレージバックエンドを備え、直近のタグ付きリリース以降も main で開発が続いている (出典 2、3、4)。