圖片來源: 

GitHub

Google、IBM及紅帽等多家業者於本周四(10/12)藉由GitHub共同發表了Grafeas開放原始碼專案,這是一個軟體運算元件的元資料API,可用來稽核及管理軟體的供應鏈,包含時興的微服務與容器應用。

當初Google打造Grafeas的用意是將它當成容器安全API,它可追蹤與執行軟體開發政策,不論是建置工具、稽核工具或是合規工具都能利用Grafeas API來儲存、查詢與檢索軟體元件的元資料。

根據Grafeas專案網站的說明,它可儲存、查詢與檢索軟體的元資料,不管這些軟體的存放處或類型,或者它們是在就地部署、私有雲與公共雲的環境中;它也能隨著供應鏈的擴充而增加元資料,並分析不同開發周期的元資料;另也嵌入了元資料的讀寫存取控制能力。

Google還額外發表了Kubernetes政策引擎Kritis,以用來制定更安全的軟體供應鏈政策。已採用Grafeas與Kritis的加拿大電商平台供應商Shopify安全工程師Jonathan Pulsifer表示,該公司每天遞交逾6000個版本,並維護33萬個容器映像檔,把這兩項工具整合到Kubernetes供應鏈之後,現在他們得以自動化地儲存每個內容映像檔的漏洞及版本資訊,並嚴格執行該公司對Kubernetes叢集的政策。

Google指出,軟體供應鏈的安全管理對許多組織來說都是令人卻步的任務,特別是在五花八門的語言、工具、開源碼軟體、去中心化、混合雲端部署及微服務架構交錯使用的現代,它們產生了不同格式、源自不同供應商,以及儲存於各處的大量元資料,若缺乏統一的元資料輪廓或真相的中心來源,資訊長將很難管理這些軟體供應鏈。

目前參與此一專案的業者涵蓋了Google、IBM、紅帽、JFrog、Black Duck、Twistlock、Aqua Security與CoreOS,其中,IBM將於IBM Cloud的容器服務中整合Grafeas與Kritis,紅帽也打算在OpenShift中提供Grafeas,Google亦預期明年初將有更多的業者加入Grafeas專案。


Advertisement

更多 iThome相關內容