谷歌和JFrog宣布Grafeas:用于工件元数据的统一语言

今天，谷歌和JFrog宣布Grafeas，首个开源API，为您的软件供应链提供全面的审计和治理。Grafeas标准化了如何存储、查询和检索附加到软件构件的元数据。特别是，它提供了丰富的审计功能，并作为组织的中心真相来源，特别是那些必须跟踪许多不同团队使用和创建的许多软件工件的开发的组织。Grafeas是可以在GitHub上找到并将被整合成云平台(GCP)而且JFrog x光．

所有公司都开发软件

在当今的现实中保持相关性意味着要接触到他们习惯于获得信息和服务的受众，这就是在线。因此，无论您所在的行业是什么，即使它与软件没有直接关联，您的公司也必须开发软件以拥有技术优势并保持竞争力。

我们都需要关于我们使用和创建的软件工件的信息，但是，我们需要的信息类型取决于我们在公司中的角色。例如，安全专家使用有关安全漏洞的信息。法律顾问使用有关软件许可的信息。开发经理使用测试覆盖率和代码质量信息。DevOps工程师使用配置、环境和审计信息。

大量元数据

软件已经变得更具协作性，允许开发人员以社区的形式彼此共享代码。事实上，今天应用程序中使用的很多代码都来自开源和第三方组件。一方面，这有助于公司加速他们的开发过程，但另一方面，它引入了许多风险(2)，迫使我们更加努力地工作，以充满信心地发布我们的软件。这些风险包括安全漏洞、OSS许可证限制、已知bug、性能问题等等。

今天，为了获得对我们使用的开源组件的信任，我们创建了手动流程，并在整个软件供应链中使用不同的工具。当我们希望从这些不同的系统中交叉引用信息以获得更广泛的产品和服务时，这就变得更加复杂了。hth华体会最新官方网站由于每个数据提供者都“讲”自己的语言，并且以不同的方式建模和标识组件和元数据，因此几乎不可能实现完全的风险可见性。

公共元数据+私有元数据=增值

项目Grafeas定义了一种开放的、统一的元数据交换格式和API，它将创建一种统一的、一致的方式来从软件组件生成和使用元数据。拥有一个用于处理元数据的标准化API非常好，因为它通过促进自动化简化了您的工作流程。换句话说，如果所有这些组件都以标准格式表示它们的元数据，并且您可以使用标准API提取元数据，那么从使用不同技术创建的组件中添加和提取元数据的过程就更容易自动化。但这仅仅是个开始。当您开始使用相同的标准添加自己的私有元数据时，您就为正在使用的软件组件的自动审计和治理提供了新的机会，无论这些组件是开源组件还是内部创建的私有组件。下面是几个用例，它们演示了使用标准化格式和API可以对公共和私有元数据做什么。

DevOps工程师
假设您是一名DevOps工程师，您的公司政策要求，高度严重的安全漏洞只有经过安全团队的具体批准才能部署到生产环境中。此决策需要特定服务/应用程序范围内的公共元数据(公开已知的安全漏洞)和私有元数据(安全团队的批准)。如果您有一个统一的系统，您可以很容易地查询这些数据，那么这个决策就可以自动化，使一切都变得更容易。

开发团队领导
您是一个开发团队的领导，您希望验证由您的团队开发和维护的代码质量是否符合特定的标准。您甚至可能希望执行一项策略，即只有在满足这些标准时才能发布服务/产品的公共版本。此决策需要公共元数据，例如检查组件是否存在任何已知问题、受欢迎程度以及它们的维护情况。私人元数据，包括内部问题(bug /性能问题/质量问题/等等)，测试覆盖信息，代码审查评论和技术债务，也是必需的。这些数据分布在几个系统中，但是获得完整图像的唯一方法是将它们组合在一起。

JFrog x射线如何升级您的元数据体验

随着Grafeas支持这种元数据的发展，Xray对Grafeas的支持将使这些用例成为日常现实。Xray允许您将公开可用的元数据和私有元数据结合在一起，以获得完整的图像。因为x射线连接到你的JFrog Artifactory存储库，它递归地索引二进制文件，从它们构建组件图，自动向您提供与它们相关的公共元数据，并允许您合并来自其他系统的元数据或添加自定义元数据。

随着越来越多的公司接受Grafeas，支持并遵循它的API, Xray将更容易建立新的合作伙伴关系和集成技术，进一步丰富您在软件中使用的二进制文件的元数据。

以下是Xray-Grafeas集成实现的一些令人兴奋的事情:

• 对Grafeas中所有元数据的本地访问
• 向Grafeas贡献关于开源组件的元数据
• 一个全新的元数据世界，可以用来定义策略手表触发警报在JFrog x射线
• 在通过Kritis部署容器时，根据开源组件中内置的公共元数据和通过Xray提供的私有元数据设置运行时Kubernetes治理策略
• 快速简单地集成任何符合Grafeas API的新数据源

青蛙x射线将与移植物一起生长

软件开发已经成为一个日益协作的过程。开发人员需要共享他们的代码并使用第三方组件，而协作的关键促成因素之一是附加到软件二进制文件的元数据。然而，由软件供应链上的多个提供者发布的许多元数据类型的组合，加上大量的消费者，在协作过程中产生了难以管理的复杂性。Grafeas API将彻底改变我们处理二进制组件的方式。它将通过在二进制软件组件的元数据丛林中创建结构和秩序来实现彻底的审计和治理功能。通过完全支持Grafeas API, Xray充当了Grafeas的门户，为您的软件供应链提供了空前丰富的元数据，可以轻松地将其用于自动化审计和治理过程。2017年11月，JFrog将发布一个新版本的Xray，完全支持当前状态下的Grafeas API，随着Grafeas的发展和发展，Xray对Grafeas的支持也会不断增强。

以下是您可以了解更多关于Grafeas并为其做出贡献的方法:

• 阅读更多关于Grafeas这篇姐妹帖由谷歌出版
• 登记参加JFrog-Google研讨会
• 试试现在加入格拉夫斯吧Grafeas GitHub项目
• 看到grafeas.io文档和示例