https://techcrunch.com/2017/10/12/google-ibm-and-others-launch-new-open-source-api-for-keeping-tabs-on-software-supply-chains/?ncid=rss
컨테이너 및 마이크로 서비스 덕분에 우리가 소프트웨어를 개발하는 방식이 빠르게 변화하고 있습니다. 그러나 모든 변화와 마찬가지로,이 새로운 모델은 또한 새로운 문제를 야기합니다. 컨테이너를 실제로 만들어 낸 사람과 컨테이너가 실제로 무엇인지를 알고 싶을 것입니다. 이에 대한 핸들을 얻기 위해 Google, JFrog , Red Hat, IBM, Black Duck, Twistlock, Aqua Security 및 CoreOS가 오늘 사용자에게 표준화 된 방식을 제공하는 새로운 공동 오픈 소스 프로젝트 인 Grafeas (그리스어로 'scribe')를 발표했습니다. 감사 및 소프트웨어 공급망 관리에 사용됩니다.
또한 구글은 또 다른 새로운 프로젝트 인 Kritis (Kubernetes의 성공 이후 새로운 Google 오픈 소스 프로젝트를위한 다른 언어로 된 이름을 선택하는 것은 불행이기 때문에 그리스어로 '판사')를 시작했습니다. Kritis는 기업이 Kubernetes 클러스터의 배포 시간에 특정 컨테이너 속성을 적용 할 수있게합니다.
Grafeas는 기본적으로 코드 배포와 파이프 라인 구축과 관련된 모든 메타 데이터를 수집하는 API를 정의합니다. 이는 저자 및 코드 출처에 대한 기록을 유지하고 각 코드 조각의 배포를 기록하고 코드가 보안 검사를 통과했는지 여부, 사용중인 구성 요소 (그리고 취약점이 알려진 지 여부) 및 Q & A가 서명 된 것인지 여부를 표시하는 것을 의미합니다. 따라서 새로운 코드가 배포되기 전에 Grafeas API를 통해 시스템에 대한 모든 정보를 확인할 수 있습니다. 시스템이 최소한 (시스템에 대한 최상의 지식이 있다면) 취약성이없고 인증 된 경우에는 생산.
언뜻보기에이 모든 것이 다소 흐릿 해 보일 수도 있지만 이와 같은 프로젝트가 실제로 필요합니다. 지속적인 통합, 분산화, 마이크로 서비스, 점점 더 많은 도구 세트 및 다른 모든 기술이 등장함에 따라 기업들은 실제로 데이터 센터에서 실제로 일어나고있는 일에 관심을 기울이기 위해 고심하고 있습니다. 실제로 실행중인 소프트웨어를 정확히 모르는 경우 보안 및 통제 정책을 고수하기가 매우 어렵습니다. 현재 개발자가 사용하는 모든 다른 도구는 자체 데이터를 기록 할 수 있지만 Grafeas는 이러한 도구를 통해이 데이터를 수집하고 액세스하는 합의 된 방법을 나타냅니다.
Google의 오픈 소스 프로젝트와 마찬가지로 Grafeas는 기본적으로 Google이 어떻게 이러한 문제를 처리 하는지를 모방합니다. 대규모의 규모와 용기 및 마이크로 서비스의 조기 채택 덕분에 Google은 업계 전반에 걸쳐 문제가되기 훨씬 전에 이러한 많은 문제를 보았습니다. Google이 오늘 발표 한 내용에서 Grafeas의 기본 임차인은 Google이 자체 빌드 시스템 용으로 개발 한 우수 사례를 반영합니다.
여기에 참여하는 다양한 파트너 모두가 테이블에 다른 조각을 가져 오지만 예를 들어 JFrog는이 시스템을 Xray API 에 구현합니다 . Red Hat은 OpenShift (컨테이너 플랫폼)에서 보안 및 자동화 기능을 강화하기 위해 Red Hat을 사용할 것이며 CoreOS는이를 구조적 Kubernetes 플랫폼에 통합 할 것입니다.
Grafeas의 초기 테스터 중 한 명은 Shopify입니다. 현재 하루 약 6,000 개의 컨테이너를 만들고 기본 컨테이너 레지스트리에 330,000 개의 이미지를 보관합니다. Grafe를 사용하면 현재 레지스트리에서 다운로드 한 컨테이너, 실행중인 패키지 및 컨테이너의 구성 요소에 알려진 보안 취약성이 포함되어 있는지 여부와 같이 특정 컨테이너가 현재 프로덕션 환경에서 사용되고 있는지 여부를 알 수 있습니다.
"Graffers를 컨테이너 메타 데이터의 핵심 소스로 사용함으로써 보안 팀은이 질문에 답변하고 Shopify의 사용자에게 제공하는 소프트웨어에 대한 적절한 감사 및 라이프 사이클 전략을 세밀하게 적용 할 수있었습니다."