Googleが主導する新しいオープンソースプロジェクトは、企業が自社のソフトウェアの履歴を追跡できるようにすることを目的としています。
トム・クレイジット著
現代のソフトウェア開発では、古いアプリケーション、オープンソースプロジェクト、そして社内の複数のチームからコンポーネントを再利用することが非常に多くなっています。これらのコンポーネントの追跡は、非常に困難になる可能性があります。Google、Red Hat、IBMなどが主導する新しいプロジェクトは、このプロセスを効率化することを目指しています。
両社は木曜日にGrafeas(ギリシャ語で「書記」の意味)を発表しました。これは、ソフトウェア開発戦略の一環としてコンテナを採用している組織が、ネットワーク上で何が実行されているのか、そしてそれがどのようにしてそこにたどり着いたのかを把握するのに役立つツールです。これは、ユーザーが特定のアプリケーションコンポーネントが最終製品にどのようにして組み込まれたのかを特定するためにアクセスできるAPIであり、厳格なコンプライアンス要件を持つ多くの企業にとって不可欠です。
開発者がアプリケーションを構築すると、作成中のコードに関するデータが生成されます。作成者、作成日時、そして開発中にフラグが付けられたバグなどです。コンテナ(数秒で作成・シャットダウンできる軽量アプリケーションパッケージ)の時代において、GoogleやRed Hatのようなソフトウェア開発の専門知識を持たない企業は、こうしたデータを監査する手段を必要としています。
そこでGrafeasの出番です。Grafeasは、いわばソフトウェアサプライチェーンの承認責任を負うチームリーダーのために、データを追跡・可視化します。医療業界のような規制の厳しい業界で事業を展開する企業は、ソフトウェア開発プロセスの整合性を検証する必要があり、ほぼすべての企業が、自社のソフトウェアが最終目的地にどのように到達したかをより深く理解することで恩恵を受けることができます。
このプロジェクトには、JFrog、Red Hat、IBM、Black Duck、Twistlock、Aqua Security、CoreOSなど、複数のテクノロジー企業がGoogleと協力しました。このプロジェクトの一環として、GoogleはKritisもリリースしました。Kritisは、Kubernetesを利用する企業(どうやらGoogleのプロジェクトはすべてギリシャ語化されているようです)がソフトウェアサプライチェーンに自動化ポリシーを設定できるものです。
