Google和JFrog宣布Grafeas:一种用于工件元数据的统一语言

今天，谷歌和JFrog宣布Grafeas，这是同类开源API中的第一个，它可以为您的软件供应链提供全面的审计和治理。Grafeas标准化了如何存储、查询和检索附加到软件工件上的元数据。特别地，它提供了丰富的审计功能，并作为组织的中心事实来源，特别是那些必须跟踪由许多不同团队使用和创建的许多软件工件的开发的组织。Grafeas是可以在GitHub上找到并且会被整合到谷歌云平台(GCP)和JFrog x光．

所有公司都开发软件

在当今的现实中保持相关性意味着与你的受众接触，他们习惯于从网上获取信息和服务。所以，不管你在哪个行业，即使它与软件没有直接联系，你的公司也必须开发软件来拥有技术优势并保持竞争力。

我们都需要关于我们使用和创建的软件工件的信息，然而，我们需要的信息类型取决于我们在公司中的角色。例如，安全专家使用有关安全漏洞的信息。法律顾问使用有关软件许可的信息。开发经理使用测试覆盖率和代码质量信息。DevOps工程师使用配置、环境和审计信息。

大量的元数据

软件已经变得更加协作(1)，允许开发人员作为一个社区彼此共享代码。事实上，今天应用程序中使用的大部分代码都来自开源和第三方组件。一方面，这有助于公司加速他们的开发过程，但另一方面，它引入了许多风险(2)，迫使我们更加努力地工作，满怀信心地发布我们的软件。这些风险包括安全漏洞、OSS许可限制、已知bug、性能问题等等。

今天，为了获得对我们使用的开源组件的信任，我们创建了手动流程，并在软件供应链中使用不同的工具。当我们想要从这些不同的系统中交叉引用信息以获得我们产品和服务的更广泛的图景时，这就变得更加复杂了。hth华体会最新官方网站由于每个数据提供者都“说”自己的语言，并且以不同的方式建模和识别组件和元数据块，因此几乎不可能实现完全的风险可见性。

公共元数据+私有元数据=附加价值

项目Grafeas定义了一种开放的、统一的元数据交换格式和API，它将创建一种统一的、一致的方式来生成和使用来自软件组件的元数据。拥有用于处理元数据的标准化API非常好，因为它通过促进自动化简化了您的工作流程。换句话说，如果所有这些组件都以标准格式表示它们的元数据，并且您可以使用标准API提取元数据，那么从使用不同技术创建的组件中添加和提取元数据的自动化过程就会更容易。但这仅仅是个开始。当您开始使用相同的标准添加自己的私有元数据时，您就为正在使用的软件组件的自动审计和治理提供了新的机会，无论它们是开源组件还是内部创建的专有组件。下面是几个用例，它们演示了使用标准化格式和API可以对公共和私有元数据做些什么。

DevOps工程师
假设您是一名DevOps工程师，您的公司政策要求只有经过安全团队的特定批准才能将严重的安全漏洞部署到生产环境中。此决策需要特定服务/应用程序范围内的公共元数据(公开已知的安全漏洞)以及私有元数据(安全团队的批准)。如果您有一个统一的系统，您可以很容易地查询以获得这些数据，那么这个决策可以自动化，使一切变得更容易。

开发团队领导
您是开发团队的领导，您想要验证您的团队开发和维护的代码的质量是否符合特定的标准。您甚至可能希望执行一项策略，即只有在满足这些标准的情况下才能发布服务/产品的公共版本。此决策需要公共元数据，例如检查组件是否存在任何已知问题、受欢迎程度以及它们的维护情况。还需要私有元数据，包括内部问题(bug /性能问题/质量问题等)、测试覆盖信息、代码审查评论和技术债务。这些数据分布在多个系统中，但是您可以获得完整图像的唯一方法是将它们组合在一起。

JFrog Xray如何升级您的元数据体验

随着Grafeas支持这种元数据的发展，Xray对Grafeas的支持将使这些用例成为日常现实。x射线允许您将公开可用的元数据和您的私有元数据组合在一起，以获得完整的图像。因为x射线连接到你的JFrog Artifactory存储库，它递归地索引二进制文件，从它们构建组件图，自动为您提供与它们相关的公共元数据，并允许您合并来自其他系统的元数据或添加自定义元数据。

随着越来越多的公司接受Grafeas，支持并遵从它的API, Xray创建新的合作伙伴关系和集成技术将变得越来越容易，从而进一步丰富您在软件中使用的二进制文件的元数据。

以下是Xray-Grafeas集成带来的一些令人兴奋的功能:

• 对Grafeas中所有元数据的本地访问
• 向Grafeas提供有关开源组件的元数据
• 一个全新的元数据世界，可以用来定义策略手表在JFrog x射线中触发警报
• 在通过Kritis部署容器时，根据开源组件内置的公共元数据和Xray提供的私有元数据设置运行时Kubernetes治理策略
• 快速、轻松地集成任何符合Grafeas API的新数据源

JFrog x射线会和Grafeas一起生长

软件开发已经成为一个日益协作的过程。开发人员需要共享他们的代码并使用第三方组件，而协作的关键促成因素之一是附加到软件二进制文件的元数据。然而，由软件供应链上的多个提供者发布的许多元数据类型的组合，再加上大量的消费者，在协作过程中造成了难以管理的复杂性。Grafeas API将彻底改变我们使用二进制组件的方式。它将通过在二进制软件组件的元数据丛林中创建结构和秩序来实现彻底的审计和治理功能。通过完全支持Grafeas API, Xray可以作为Grafeas的门户，为您的软件供应链提供前所未有的丰富的元数据，这些元数据可以很容易地用于自动化审计和治理流程。2017年11月，JFrog将发布一个新版本的Xray，它将完全支持Grafeas API的当前状态，随着Grafeas的成长和发展，Xray对Grafeas的支持也将随之发展。

以下是你如何了解更多关于Grafeas的信息并为其做出贡献:

• 阅读更多关于Grafeas的信息这个姐妹帖子谷歌出版
• 注册JFrog-Google研讨会
• 尝试Grafeas现在加入Grafeas GitHub项目
• 看到grafeas.io有关文档和示例