Google et IBM lancent Grafeas, une API open source

Grafeas, une API open source lancée par Google et IBM 19 Oct

Grâce aux conteneurs et aux micro-services, les méthodes de développement des logiciels évoluent rapidement. Mais toute évolution s’accompagne de son lot de problématiques auxquelles il faut faire face. Les développeurs souhaitent notamment avoir plus de visibilité pour établir la traçabilité des conteneurs. C’est pourquoi Google, JFrog, Red Hat, IBM, Black Duck, Twistlock, Aqua Security et CoreOS ont lancé Grafeas, une API (interface de programmation applicative) open source, multivendeur et multiproduit, pour l’audit et la gestion de la chaîne logistique logicielle moderne. L’objectif est de permettre plus de cohérence et de fiabilité dans la réalisation de l’audit des logiciels et des modifications qui leur sont apportées.

Grafeas pour une meilleure visibilité

Grafeas utilise une API pour créer une fabrique de données autour du déploiement du code et construire des chaînes de développement ou pipelines. Cela implique la création d’un registre contenant des informations détaillées à propos des auteurs et de la provenance du code, du déploiement de chaque élément du code, des analyses de sécurité, des composants utilisés et des vulnérabilités qu’ils présentent. Ainsi, avant qu’un nouveau morceau de code ne soit déployé, le système peut vérifier toutes les informations à son sujet via l’API Grafeas, notamment la certification et l’absence de vulnérabilité avant la mise en production.

L’intégration continue, la décentralisation, les micro-services et les nombreux outils et solutions à la pointe de la technologie disponibles actuellement compliquent considérablement la tâche des entreprises qui souhaitent avoir une bonne visibilité sur leurs centres de données. En effet, il s’avère compliqué de maintenir des politiques de sécurité et de gouvernance efficaces sans connaître les logiciels adoptés et comprendre leur fonctionnement. Les outils utilisés par les développeurs peuvent enregistrer leurs propres données, mais Grafeas constitue un excellent moyen pour collecter et accéder à ces données.

Les partenaires de Google tirent profit de Grafeas

Grafeas imite fondamentalement la façon dont Google gère lui-même ce type de problèmes. En effet, le moteur de recherche a pu constater ces problèmes assez tôt, ce qui lui a permis de définir et développer les bonnes pratiques à suivre pour ses propres systèmes de construction. Les différents partenaires impliqués dans ce projet apportent chacun des pièces différentes au puzzle, mais tous en bénéficient en retour. Ainsi, JFrog, par exemple, va implémenter ce système dans son API Xray, Red Hat l’utilisera pour améliorer ses fonctionnalités de sécurité et d’automatisation dans OpenShift (son plateforme de conteneurs) et CoreOS l’intégrera dans sa plate-forme Tectonic Kubernetes.

Les compétences open source sont très demandées chez les recruteurs. Vous pouvez les acquérir en optant pour la formation initiale à l’OSS, l’école de référence en France !