Google與IBM開源軟體供應鏈稽核工具Grafeas

Google、IBM及紅帽等多家業者於本周四（10/12）藉由GitHub共同發表了Grafeas開放原始碼專案，這是一個軟體運算元件的元資料API，可用來稽核及管理軟體的供應鏈，包含時興的微服務與容器應用。

當初Google打造Grafeas的用意是將它當成容器安全API，它可追蹤與執行軟體開發政策，不論是建置工具、稽核工具或是合規工具都能利用Grafeas API來儲存、查詢與檢索軟體元件的元資料。

根據Grafeas專案網站的說明，它可儲存、查詢與檢索軟體的元資料，不管這些軟體的存放處或類型，或者它們是在就地部署、私有雲與公共雲的環境中；它也能隨著供應鏈的擴充而增加元資料，並分析不同開發周期的元資料；另也嵌入了元資料的讀寫存取控制能力。

Google還額外發表了Kubernetes政策引擎Kritis，以用來制定更安全的軟體供應鏈政策。已採用Grafeas與Kritis的加拿大電商平台供應商Shopify安全工程師Jonathan Pulsifer表示，該公司每天遞交逾6000個版本，並維護33萬個容器映像檔，把這兩項工具整合到Kubernetes供應鏈之後，現在他們得以自動化地儲存每個內容映像檔的漏洞及版本資訊，並嚴格執行該公司對Kubernetes叢集的政策。

Google指出，軟體供應鏈的安全管理對許多組織來說都是令人卻步的任務，特別是在五花八門的語言、工具、開源碼軟體、去中心化、混合雲端部署及微服務架構交錯使用的現代，它們產生了不同格式、源自不同供應商，以及儲存於各處的大量元資料，若缺乏統一的元資料輪廓或真相的中心來源，資訊長將很難管理這些軟體供應鏈。

目前參與此一專案的業者涵蓋了Google、IBM、紅帽、JFrog、Black Duck、Twistlock、Aqua Security與CoreOS，其中，IBM將於IBM Cloud的容器服務中整合Grafeas與Kritis，紅帽也打算在OpenShift中提供Grafeas，Google亦預期明年初將有更多的業者加入Grafeas專案。