Google Developers Italia: Presentazione di Grafeas: una API open source per controllare e gestire la supply chain del tuo software

Local blog for Italian speaking developers

Presentazione di Grafeas: una API open source per controllare e gestire la supply chain del tuo software

3 novembre 2017

code { background-color: transparent }Pubblicato da Stephen Elliott, Product Manager, Developer Platforms e Jianing Guo, Product Manager, Container Security «Shopify stava cercando un metodo completo per tracciare e amministrare tutti i container che inviamo alla produzione. Inviamo oltre 6.000 build ogni giorno e manteniamo un registro di oltre 330.000 immagini di container. Integrando Grafeas e Kritis nella nostra pipeline Kubernetes, oggi siamo in grado di memorizzare automaticamente le vulnerabilità e le informazioni di build su tutte le immagini di container che creiamo e inoltre facciamo rispettare rigorosamente una policy creata da Shopify: i nostri cluster Kubernetes eseguono solamente immagini firmate dal nostro builder. Grafeas e Kritis ci aiutano a ottenere maggiore sicurezza, permettendo ai nostri sviluppatori di concentrarsi sui loro codici. Ci auguriamo che molte altre aziende integrino i progetti Grafeas e Kritis». Jonathan Pulsifer, Senior Security Engineer di Shopify (per saperne di più, leggi il post del blog di Shopify).La sfida della gestione su scala

Set di strumenti crescenti e frammentati: quando un’organizzazione cresce in dimensioni e obiettivi, tende a utilizzare svariati strumenti e linguaggi di sviluppo, rendendo quindi difficile mantenere la visibilità e il controllo del ciclo di vita dello sviluppo.

Adozione di software open source: se da un lato il software open source aumenta la produttività degli sviluppatori, dall’altro complica il processo di controllo e amministrazione.

Decentralizzazione e consegna continua: la decentralizzazione dell’ingegneria e la spedizione di software ininterrotta (per esempio, “push on green”) accelerano la velocità di sviluppo, ma rendono difficile seguire gli standard e le best practice.

Implementazione di cloud ibridi: le imprese utilizzano sempre di più una combinazione di cloud locali, privati e pubblici per ottenere il meglio da ciascun mondo, ma hanno difficoltà a mantenere una visione globale delle operazioni di tutti questi ambienti diversi.

Architetture a microservizi: se l’organizzazione scompone grandi sistemi in microservizi basati su container, diventa più difficile tenere traccia di tutti i componenti.

L’approccio di Grafeas

Utilizzare infrastrutture immutabili (per esempio, i container) per stabilire posizioni di sicurezza preventive contro minacce avanzate persistenti.

Generare controlli di sicurezza nella supply chain del software, basati su attestazioni di sicurezza e metadati di componenti completi, per proteggere l’implementazione della produzione.

Mantenere flessibile il sistema e assicurare l’interoperabilità degli strumenti di sviluppo in relazione alle specifiche comuni e ai software open source.

Copertura universale: Grafeas memorizza metadati strutturati contro l’identificatore univoco del componente software (per esempio, la sintesi di immagini di container), dunque non è necessario co-localizzarlo con il registro del componente, rendendo quindi possibile LA memorizzazione di metadati sui componenti provenienti da diversi repository.

Idoneo per i cloud ibridi: così com’è possibile utilizzare JFrog Artifactory come repository di componenti centrale e universale attraverso l’impiego di cloud ibridi, allo stesso modo è possibile utilizzare l’API Grafeas come store di metadati centrale e universale.

Pluggable: Grafeas facilita l’aggiunta di nuovi metadati di produttori e consumatori (per esempio, se decidi di aggiungere o cambiare le scansioni di sicurezza, aggiungere nuove build di sistema ecc.).

Strutturato: gli schemi di metadati strutturati per tipologie di metadati comuni (per esempio, vulnerabilità, build, attestazioni e metadati dell’indice dei pacchetti) consentono di aggiungere nuovi tipi e fornitori di metadati, e gli strumenti che dipendono da Grafeas riescono a comprendere immediatamente queste nuove fonti.

Forti controlli di accesso: Grafeas permette di controllare accuratamente gli accessi per produttori e consumatori di metadati multipli.

Funzionalità avanzate per le query: con Grafeas, si possono facilmente eseguire query sui metadati di tutti i componenti così non sarà necessario effettuare una gigantesca analisi dei report per ciascun componente.

Deframmentazione e centralizzazione dei metadati

(fai clic per ingrandire)

JFrog sta implementando Grafeas nell’API JFrog Xray e supporterà flussi di lavoro provenienti da cloud ibridi che richiedono metadati in un unico ambiente (per esempio, Xray in loco) da utilizzare altrove (per esempio, sulla Google Cloud Platform). Per saperne di più, leggi il blog di JFrog.

Red Hat sta progettando di migliorare le funzionalità di sicurezza e l’automazione del container tecnologico Red Hat Enterprise Linux in OpenShift con Grafeas. Per saperne di più, leggi il blog di Red Hat.

IBM progetta di inserire Grafeas e Kristis nell’IBM Container Service su IBM Cloud e di integrare i nostri strumenti Vulnerability Advisor e DevOps nell’API Grafeas. Per saperne di più, leggi il blog di IBM.

Black Duck sta collaborando con Google per mettere in atto l’implementazione dell’API dei metadati degli artefatti di Google di Grafeas, per apportare una migliore sicurezza open source su scala aziendale a Google Container Registry e Google Container Engine. Per saperne di più, leggi il blog di Black Duck.

Twistlock integrerà Grafeas per pubblicare dati dettagliati di vulnerabilità e conformità direttamente negli strumenti di orchestrazione, offrendo ai clienti più informazioni e più sicurezza per svolgere le operazioni di container. Per saperne di più, leggi il blog di Twistlock.

Aqua Security integrerà Grafeas per pubblicare vulnerabilità e violazioni nonché per applicare le policy di sicurezza di runtime in base alle informazioni sui metadati dei componenti. Per saperne di più, leggi il blog di Aqua.

CoreOS sta studiando le integrazioni fra Grafeas e Tectonic, la sua piattaforma Kubernetes d’impresa, per poter estendere la propria scansione di sicurezza delle immagini e le capacità di gestione del ciclo di vita delle applicazioni.

Implementazione di XRay di JFrog dell’API Grafeas

Implementazione dell’API dei metadati degli artefatti di Google di Grafeas, insieme alla scansione delle vulnerabilità di Google Container Registry

Sincronizzazione dei metadati bidirezionale tra JFrog XRay e l’API dei metadati degli artefatti di Google

Integrazione di Black Duck con Grafeas e l’API dei metadati degli artefatti di Google

Partecipa anche tu!

Registrati al webinar di JFrog-Google

Prova subito Grafeas ed entra a far parte del progetto su GitHub: https://github.com/grafeas

Partecipa agli interventi di Shopify al Google Cloud Summit di Toronto a ottobre 2017 e al KubeCon a dicembre

Compila questo modulo per conoscere le future release o parlarci delle integrazioni

Registrati al gruppo di discussione Grafeas, grafeas-users@googlegroups.com

Visita grafeas.io per la documentazione e gli esempi

Etichette

Android Firebase machine learning Google Cloud Platform GDL Eventi Google Developers Live Google Play TensorFlow App Chrome Cloud api GDLItalia GDE GDG Google Assistant iOS Kotlin Actions on Google Deep Learning AppEngine AMP BigQuery Cloud Functions Flutter Android Studio Google Developers Expert Università Google AppEngine JavaScript AI Android Wear GAE Google Play Store HTML5 Maps security Android App Development AngularJS IoT Kubernetes Annunci Cloud Firestore Cloud Machine Learning Google I/O Polymer Android Things Community DevTools Google App Engine intelligenza artificiale Entrepreneurship Firebase Analytics GSoC Games Google Cast ML open source Crashlytics Dart Diversity Drive Google Data Studio Google Play Games TensorFlow Lite Android Developers Android O Cloud Spanner Cloud TPU Compute Engine DevFest Google Compute Engine Google Developers Material Design Mobile PWA Python Startup AIY Project ARCore Android Jetpack AndroidDev Androidq Apps Script Artificial Intelligence Augmented Reality Firebase Cloud Messaging Google Cloud Google Maps Gsuite IO19 ML kit Research VR coding unity #io19 AR Android Dev Summit Android Developer Android Q Cardboard Cloud AI Coral Developers Dialogflow Firebase Realtime Database Gmail Google AI Google Cloud Messaging Google ContainerEngine Google Play Console Kotlin Coroutines NLP Programming Responsive Design TensorFlowjs Testing WTM Women beacons cloud storage developer node JS student programs women techmakers API Cloud Vision Add-ons Android P AndroidDevStory Animation AutoML Brillo Classroom DSC Database Developer Student Clubs Edge TPU Fabric Featured Flutter Web G Suite GWT GoLang Google Google Brain Google Cloud Next Google Container Engine Google Developer Groups Google I/O Extended Graph Hosting Instant Apps Keras Livedata Mobile Sites Prediction Privacy Project Tango SDK Stackdriver Tales UI Udacity Virtual Reality Web Web Development YouTube analytics android security api.ai courses google io indies natural language processing reti neurali sign-in young developers 2d Animation 3d AIY ARkit Adversarial Learning Alpha Android App Android App Developmen Android App bundle Android Architecture Android Architecture Components Android Auto Android Automotive OS Android Dev Summit Android Developer Android Developer Challenge Android Developers GooglePlayAwards Android Development Android Go Android Instant App Android Pie Android Q Scoped Storage Android Q audio Android Styles Android audio playback capture Android codelabs AndroidTV AndroidX Angular Aogdevs Api Design App Development App Distribution Apps Architecture Architecture Components Arduino Best Practices Betatesting Bugs C++ Certification Cloud Anchors Cloud Next Cloud Run Cloud Service Platform Cloud Shell Cloud Study Jam Coached Conversational Preference Elicitation Commerce Community Connector Computer Science Consistency Containers Converge Conversation Design Crash Reporting DLS Design Dagger Data Science Databases Dependency Injection Design Developer Communities Developer Community Developer Culture Developer Story Developing Media Apps Development Eager Edge TPU Dev Board Education Emulatore Android Error Message Eslint Europe Firebase Extensions Firebase Summit 2019 Firebasehosting Flutter 1.5 Flutter at IO FlutterDark GCE GDD Game Development Gboard Gesture Navigation Glass Go Google AI Quantum Google App Script Google Cloud Functions Google Cloud billing Google Coral Google Developer Days Google Home Hub Google IOS Android Google Identity Platform Google Launchpad Google Lens Google Now Google Photos Google Play Devs Google Play Indie Games Festival Google Play Instant Google Plus Google codelabs Google+ GoogleDevWeekly GoogleLaunchpad GooglePlay Graphics Healthcare I/O IO IO19 Flutter In-app Billing Indie Games Indie Games Festival Indie games showcase Indie showcase Ingress Instant Games Issues Java Jetpack Knative Kotlin Beginners Kotlin Everywhere Kotlin codelabs Lighthouse Live Caption Live Streaming Localization Location M-Theory Mondaygram Monetization NYT NativeScript Navigation Neural Graph Learning Neural Structured Nodejs OS OS Updates Olivex One Time Codes Online Education PHA Performance Monitoring Policy Posenet Project Mainline Project Treble Quantum Computing Theory Reactive Programming Regression Remote Config Resonance Audio Room Scoped Storage Semantics Semi Supervised Learning Serverless Sms Retriever Api Sms Verification Speech Recognition Swift Tensorflow Core Tensorflow Hub Test Lab Text Tokenizer Tpu Transformers UX UX Design UX Research Universal Sentence Encoder Unsupervised Data Augmentation Unsupervised Learning User Experience Viewmodel Voice WWW Wear OS WebAssembly Widget Women in Tech WomenTechmakers android kotlin app stability assistant audio recording augmented faces authsub best practices and updates billing botnet business c++ games cancer chatbot chrome privacy codelab codelabs competition daydream designer dominio .dev error handling event firebase games firebase gdc firebase hosting firebase unity game center authentication game testing games authentication gdc google summer of code googledevelopers grow hashcode indie indie developers internship kids machine intelligence machine learning accelerator maker multi-platform nearby oauth openid performance persistent AR privacy sandbox prizes prototype purchase flows queries realtime responsible AI security rules showcase solutions challenge startup africa roadtrip startup times students summer of code unity crashlytics verify apps win

Archivio Blog

2020
- feb
- gen

2019
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2018
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2017
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2016
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2015
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2014
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

2013
- dic
- nov
- ott
- set
- ago
- lug
- giu
- mag
- apr
- mar
- feb
- gen

Feed

Follow @GoogleDevsItaly

Google
Privacy
Terms