谷歌、紅帽、IBM等8家共同開源Grafeas API，化解軟體供應鏈的難題！

谷歌公司正聯合一大批大大小小的科技公司，著力化解軟體供應鏈治理和審計方面的部分難題。

這個互聯網巨頭的一長串盟友名單包括：JFrog Ltd.、Red Hat Inc.、IBM Corp.、Black Duck Software Inc.、Twistlock Ltd.、Aqua Security Software Ltd.和CoreOS Inc.。它們都攜起手來，打造一種名為Grafeas（http://grafeas.io/）的新型應用編程介面（API）。這是一個開源項目，旨在為現代軟體供應鏈的審計和治理定義統一的方式。」

這個新項目適逢這樣一個時期：現代DevOps技術/方法正迅速改進公司構建和部署軟體的方式。如今，許多公司日益使用微服務來構建應用程序，微伺服器是一種軟體架構方法，它將應用程序細分成更小的組件，從而能夠提高敏捷性。這更高的敏捷性意味著，新型的「持續更新」（每天可以更新好幾次）取代了每季度更新的舊方法。這些全新類型的應用程序還在一種新型的架構：軟體容器上構建，那樣應用程序不用改變，就可以在不同的計算機環境下運行，進一步加快了速度。

谷歌在今天宣布Grafeas的博文中聲稱，簡而言之，軟體開發正變得更快速、更分散式、更動態，這給需要了解並控制軟體供應鏈的公司企業帶來了重大影響。

這種新型軟體開發方法存在的問題是，公司要知道誰構建了什麼軟體、在哪裡構建。它們還要知道軟體是否符合自己的流程和規定，是否易受攻擊還是安全。它們還要明白眼下什麼應用程序在運行、它們在哪裡運行，另外還要保持控制性。

這就是開發Grafeas的初衷。該軟體旨在為關鍵的元數據提供一個中心結構化知識庫，治理軟體供應鏈需要這些元數據。

開發者平台產品經理斯蒂芬?埃利奧特（Stephen Elliott）和容器安全產品經理郭佳寧（Jianing Guo）在谷歌的博客上撰文：「Grafeas為企業組織提供了一個中心真相來源，可以跨越來越多的軟體開發團隊和管道跟蹤和執行策略。構建、審計和合規工具可使用Grafeas API來存儲、查詢和檢索各種軟體組件方面的綜合元數據。」

下面這個圖更清楚地顯示了Grafeas的實際功能。正如埃利奧特和郭特別指出，在軟體供應鏈的每一個階段：包括編程、構建、測試、部署和運維，元數據由各個工具和軟體程序生成。該元數據可能指開發人員的姓名、簽入代碼的日期、發現的安全漏洞、通過和未通過的測試等等。Grafeas的任務就是記錄下所有這些元數據，並且讓用戶易於訪問它們，從而讓用戶更清楚地了解整個軟體供應鏈的情況。

除了Grafeas外，上述這些公司還開發了旨在與它配套使用的第二個工具：Kritis。它們稱，Kritis是一種「Kubernetes策略引擎」，旨在幫助執行運用於軟體供應鏈的策略。藉助Kritis，用戶可以將軟體部署到Kubernetes容器集群時，根據存儲在Grafeas中的策略，實時執行容器的屬性。

Constellation研究公司的副總裁兼首席分析師霍爾格?米勒（HolgerMueller）表示，宣布這兩款工具表明了整個Kubernetes生態系統成熟起來的速度有多快。

米勒說：「我們看到了Kubernetes的下一個發展階段，即圍繞部署和規模來構建項目。很高興看到這個理念普遍出現於技術供應商和企業，因為這帶來了級別更高的驗證和信心，表明這些會是成功的項目。」

Grafeas和Kritis都採用開源許可證來發布，現在可通過GitHub（https://github.com/grafeas）來下載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 雲頭條 的精彩文章: