Software-Entwicklung: Google und Partner starten Open-Source-API Grafeas
Google, IBM und andere Industriegrößen starten Grafeas, eine Open-Source-API, die die Software-Supply-Chain überwachen und im Griff behalten soll, um den steigenden Anforderungen an die moderne Softwareentwicklungsverwaltung gerecht zu werden.
- Björn Bohn
In Zusammenarbeit mit JFrog, Red Hat, IBM, Black Duck, Twistlock, Aqua Security und CoreOS kündigte Google die Open-Source-API Grafeas an, die Unternehmen dabei unterstützen soll, die immer größeren Verwaltungs- und Sicherheitsanforderungen der Software-Supply-Chain zu handhaben. Dabei setzt Grafeas auf eine unveränderbare Infrastruktur (zum Beispiel Container) und auf Sicherheitskontrollen in der Entwicklungskette, die über Metadaten der Software gesteuert werden.
Moderne Herausforderungen
Laut Google soll Grafeas auf die Herausforderungen der modernen Softwareentwicklung eingehen. Explizit genannt werden hierbei vor allem verteilte Strukturen, seien es Microservices oder eine Mixtur von On-Premises- und Cloud-Umgebungen, die eine Gewährleistung von Best Practices und Sicherheitsstandards erschweren. Ebenso werden Konzepte wie Continuous Delivery und die zugenommene Verwendung von Open-Source-Software genannt, die im Endeffekt zwar die Entwicklungsgeschwindigkeit erhöhen, dadurch allerdings die Kontrolle der einzelnen Schritte schwieriger machen. Dadurch fallen riesige Mengen an Metadaten in verschiedenen Formaten an, die es Unternehmensleitern und Chief Information Officers (CIOs) erschweren den aktuellen Stand der Software und die Implikationen der unterschiedlichen Daten für das Produkt nachzuvollziehen.
Die Lösung: Eine zentralisierte Metadatenverwaltung
Grafeas soll die unterschiedlichen Metadaten bewältigen und als zentrales Verwaltungstool dienen. Dabei setzt Grafeas auf strukturierte Metadatenschemata für häufige Typen und erlaubt es, schnell weitere Typen hinzuzufügen. Grafeas soll also als Kern der Metadatenverwaltung verstanden werden, auf den alle anderen Tools, die zur Sicherung der Softwarequalität genutzt werden, zugreifen können. Eine Grafik von Google veranschaulicht dieses Konzept recht deutlich.
(Bild: Google Cloud Platform Blog)
Mit diesem Aufbau werden alle Schritte von Codieren, Build, Test und Deployment für neuen Code von Grafeas dokumentiert. Der CIO hat also einen zentralen Überblick über alle Entwicklungsebenen der Software beziehungsweise der einzelnen Komponenten. Neben Grafeas setzt Google außerdem auf das neu veröffentlichte Kritis, eine Kubernetes Policy-Engine, die es Entwicklern ermöglichen soll, sicherere Regeln in der Entwicklungskette einzuführen.
Die Entwicklung von Grafeas soll eine mögliche Kollaboration und Kompatibilität zwischen verschiedenen Nutzern ermöglichen. Die Firmen, die bei der Entwicklung von Grafeas beteiligt waren, arbeiten alle bereits an Grafeas-Unterstützung für die eigenen Produkte. Einen ersten Praxisbericht von Shopify über die Nutzung von Grafeas und Kritis findet man im entsprechenden Blog. (bbo)
