谷歌IBM等8家技术公司推出开源API Grafeas，统一管理软件供应链

谷歌、IBM 和其他一些科技公司推出了 Grafeas，一个开源API，用于存储、查询和检索所有类型软件组件的重要元数据。使用Grafeas API，公司可以将数据与其他元数据相结合，构建大规模尺度上安全和管理的综合模型。

大规模尺度上的管理和安全，无论是对大型企业还是中小型企业来说，都提出了诸多挑战。因为目前出现的一些趋势造成的，比如增加了开源软件的采用，分散化和持续交付，以及微服务架构的兴起。使用越来越多的碎片化工具集和混合云部署的公司数量也在增加。

由于上述趋势，组织正在生成大量的元数据，并且该元数据具有不同的格式，存储在多个地方，并且来自各个供应商。 Google 与 IBM、Aqua Security、BlackDuck、CoreOS、JFrog、Red Hat 以及Twistlock 合作开发了Grafeas，一个旨在为企业定义统一的方式来审计和管理其软件供应链的开源项目。

作为一个新设立的联合开源项目，Grafeas 为用户提供了一个标准化的方式，便于其审核和管理他们的软件供应链。

该项目的主要重点是开发作为开放源代码工件元数据API 的开源Grafeas API。参与该项目的技术公司正在开发此API，使其可插拔和结构化，具有强大的访问控制和丰富的查询能力，并支持通用的工件元数据。存储、查询和检索软件工件元数据（无论存储数据的位置或软件工件类型是什么）的能力使得公司可以在不同环境中获得其软件供应链360 度的视图。

本质上来说，Grafeas 定义了一个围绕代码部署和管道构建、收集所有元数据的应用程序接口（API）。这意味着要保持作者身份和代码记录、每段代码的部署、标记代码是否通过了安全扫描、使用了哪些组件（是否有漏洞）、以及 Q&A 等内容。

各合作伙伴都将诚意摆到了台面上。挑战在于，JFrog 需要在 Xray API 中部署其系统，Red Hat 会在自家容器平台 OpenShift 中增强其安全性和自动化功能，而 CoreOS 将整合 Tectonic Kubernetes 平台。

原文地址：https://www.programmableweb.com/news/google-ibm-and-others-introduce-grafeas-open-source-api/brief/2017/10/14