Grafeas Project quiere mejorar la seguridad de la cadena de suministro de software

  • Actualidad

Grafeas es una iniciativa de código abierto para definir una manera uniforme de auditar y controlar una cadena de suministro de software moderna.

Se ha creado un nuevo proyecto de código abierto, respaldado por Google, IBM, Red Hat, CoreOS y otros, para estandarizar la manera en que los desarrolladores auditan y gobiernan sus cadenas de suministro de software.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

Explica IBM en un post que los contenedores y servicios están cambiando la manera en que se crea y desarrolla el software. Los grandes bloques se están reemplazando por docenas o cientos de microservicios, al tiempo que las actualizaciones trimestrales se han sustituido por continuos desarrollos que ocurren docenas de veces al día.

El resultado es una mayor agilidad en el desarrollo, pero el desarrollador tiene que saber si el software es vulnerable, cumple con los procesos y regulaciones, y es seguro. Además, y para ser capaz de controlarlo cuando cambia, también se tiene que saber qué se está ejecutando y dónde.

En este punto es donde aparece Grafeas Project, que ofrece una API abierta capaz de recoger y agregar los metadatos generados en cada etapa de la cadena de suministro de software que permite a los desarrolladores ser capaz de mantener un registro de cuándo y dónde se cambió el software, además de quién lo cambió, si el código pasó o no un escaneo de seguridad, qué vulnerabilidades fueron detectadas y dónde, antes de que el código sea puesto en producción.

Los creadores del Grafeas Project, dicen que soluciona una serie de retos, como el creciente número de herramientas fragmentadas, la descentralización de la ingeniería, la dificultad de mantener la visibilidad de las operaciones en entorno híbridos o la sustitución de grandes sistemas con cientos de microservicios.

Un componente de Grafeas es Kritis, que permite a las organizaciones establecer políticas de gobierno de Kubernetes basadas en los metadatos almacenados en Grafeas.