Google kondigt middels een blogbericht de beschikbaarheid van Grafeas aan, dat samen met onder andere IBM gerealiseerd wordt. Grafeas is een open-source project waarmee ontwikkelaars controle krijgen over beveiligingsrichtlijnen in de software supply chain.

De open API (application programming interface) verzamelt daarvoor metadata die gegenereerd wordt in ieder plek van de software supply chain, zo legt Google uit. Door de API te gebruiken kunnen ontwikkelaars bijhouden wanneer code aangepast is en door wie. Ook kunnen zij inzien of de code slaagde voor een veiligheidsscan of juist niet. Deze controle is vooral handig om te voorkomen dat er na productie van code nog fouten gevonden worden.

Volgens Google helpt Grafeas bij een aantal uitdagingen. Voorbeelden daarvan zijn het toenemende aantal gefragmenteerde toolsets, decentralisatie van engineering, verwachting van voortdurende deployments en vervangen van grote systemen met honderden microdiensten.

Als onderdeel van Grafeas introduceert Google ook Kritis. Dat is een Kubernetes policy-engine om klanten te helpen bij veiliger software supply chain-beleid. Als geheel zal Grafeas dan ook dienen als een verenigde metadata-opslag die werkt op on-premises, public cloud en hybride omgevingen. Andere features zijn sterke toegangscontrole en rijke zoekmogelijkheden.

IBM wil het makkelijk maken om nieuwe producers en types metadata toe te voegen en ze te begrijpen. Dit bedrijf wil Grafeas en Kritis leveren als onderdeel van zijn Container Service op IBM Cloud. Ook moeten de Vulnerability Advisor en DevOps tools met de Grafeas API geïntegreerd worden. Maar IBM is niet de enige die zijn steentje bij wil dragen aan het Grafeas-project.

Red Hat, JFrog, Black Duck, Twistlock, Aqua Security en CoreOS kijken eveneens naar hoe ze het platform kunnen ontwikkelen. Een early adopter is Shopify, die in het blogbericht van Google aangeeft elke dag meer dan 6000 containers te bouwen en in zijn register meer dan 330.000 container images te onderhouden. Door de integratie van Grafeas en Kritis wil Shopify meer veiligheid realiseren, terwijl ontwikkelaars op coderen kunnen blijven focussen.