目前有没有DevOps解决方案能保证整个软件包生命周期的安全？

Posted 2023-03-28

有的，比如JFrog的DevOps解决方案，近期JFrog收购了Vdoo之后，他们的产品对于安全性更多了一层保障，能够做到保证软件生命周期的安全。
具体表现在能够使用高级算法适用性扫描进行上下文威胁分析，优先考虑跨多个向量的关键安全漏洞；能够在新漏洞、恶意软件、漏洞利用、后门、供应链风险和其他威胁公开之前自动检测；能够跨多个攻击向量的可行缓解建议切入底线，避免团队在必须筛选数千个可能的漏洞时出现“警觉疲劳”和噪音；能够将安全性扩展到设备/IoT 上的嵌入式软件，以及固件扫描和唯一识别已编译 C/C++ 应用程序组件中的漏洞；能够将发现的任何安全风险与 40 多种（迄今为止）不同的安全标准和法规相匹配等。 参考技术A “DevOps”提倡开发和IT运维之间的高度协同，它拓展和完善了持续集成和发布流程，从而能够提高复杂的分布式应用的开发和运维效率，加快交付速度。DevOps的理论已经响彻业界，快节奏的互联网公司大都已经按照不同的方式在公司内部的研发体系中引入了DevOps流程，它的效果也已经得到了实践验证。公有云巨头们都了提供DevOps服务，例如亚马逊的AWS OpsWorks、阿里云的CRP持续交付平台、网易蜂巢等；一些新兴的创业公司例如时速云、DaoCloud、灵雀云等也都提供了基于容器云平台的DevOps服务解决方案。
然而，DevOps只是一个方法、过程的统称。 运维人员可以自己编写脚本或者使用Puppet、chef、Docker等自动化配置工具实现DevOps的流程（我们的项目就是通过自己攒的工具实现了DevOps流程），也可以由专门的平台提供全套DevOps解决方案，但是这个平台该有什么具体功能、该如何实现，并没有标准答案。
本章节将简要对比分析业内的各平台提供的DevOps平台服务功能及实现方式，并且依据自身项目的实践经验，梳理出适合支持DevOps流程的、比较实用且适合为企业提供容器服务的平台需求。
几家DevOps相关平台的对比

如表所示简要对比了阿里云CRP平台、阿里云容器服务、网易蜂巢、时速云、DaoCloud几家：
阿里云CRP（持续发布平台）：主要作用是在Dev阶段提供快速构建、发布功能，最终能直接将开发成果发布到阿里云ESC上，Ops部分就由ESC接管了。具体来说平台提供项目代码管理、代码构建、持续集成、持续发布功能，其功能亮点在于可视化的CI、CD流程，代替了Jenkins的部分功能，不过个人感觉简化了的可视化发布向导，方便得同时有失灵活性。

阿里云容器服务平台、时速云和DaoCloud差不多：包括构建源代码将应用打包成容器镜像、将容器部署到云端、镜像仓库管理、服务编排、平台对运行的容器及集群进行调度管理、支持负载均衡及数据卷等功能。可以说把Dev阶段和Ops阶段连接起来了，但是更侧重于Ops阶段的容器管理。
网易蜂巢：功能纯粹只管Ops阶段，支持用户把镜像提交到镜像仓库，然后在平台上部署容器、并提供容器调度及负载均衡等操作。
容器服务平台针对运维阶段应该具备的重点功能：

Google在很早以前就已经把容器应用到生产运维环境了，目前，包括腾讯、新浪、京东在内越来越多的国内互联网企业已经在生产环境中受益于容器的轻量和敏捷性，大幅提高了运维资源使用效率，据京东员工发布的技术文章提到：今年618核心业务都容器化了。因而主流的容器服务平台都在容器弹性调度和容器集群管理方面下功夫，具体来说对于运维的支持以下功能是必不可少的：
i. 镜像仓库：镜像仓库中需要具有较为丰富的基本镜像；并且支持用户高速的上传、下载镜像，并且镜像仓库需要有一定的权限控制；
ii. 容器调度管理：容器实例的启、停；容器集群资源管理；弹性伸缩；实例的failover；安全控制等。
iii. 相关容器组合的编排管理：包括容器的跨节点关联、涉及到网络和数据共享等功能；容器集的动态生命周期和横向扩展等功能，可实现例如数据库集群部署等复杂的运行环境部署和管理。
iv. 服务发现相关功能：可以让一个应用或者组件动态发现其运行环境以及其它应用或组件的信息，主要场景如负载均衡、环境变量的更新等功能。
v. 运行环境的日志、监控和告警：为保证生产环境正常运行，容器实例及其主机系统级别的日志、监控和告警功能是必不可少的。
容器服务平台针对开发阶段应该具备的重点功能：

随着容器技术的兴起，近1-2年容器技术大会也频繁的召开，根据各家互联网公司的积极分享的实践经验可知：容器重新定义了交付方式，大多数互联网公司已经大规模的把容器引入了开发环节，采用容器交付应用。实践证明：容器的可移植性和良好的隔离性，能够充分提高开发和发布效率。因为各家公司软件开发使用的开发工具和开发流程不同，具体在开发阶段基于容器实现快速开发、部署的功能并没有标准化。这里梳理一下开发阶段的容器服务平台应该具有的功能：
i. 提供基础的开发环境，使得开发者只需要关注代码开发减少相关工具的安装和配置工作量：例如本项目用到的Git库、Docker镜像仓库、禅道、wiki、jenkins等工具；
ii. 利用自动化工具及持续集成工具如Puppet、chef或者原生的脚本、jenkins、Dockerfile等工具，实现自动化的持续集成和持续发布，简化运维工作；
iii. 提供各类服务的容器镜像，可在平台上快速部署开发所需要的服务，并且支持通过环境变量绑定服务；
iv. 实现开发环境、测试环境以及生产环境的隔离以及环境的快速搭建和回收；
v. 持续集成、部署的日志和监控、告警等。 参考技术B 安全管理信息系统开发的方法有哪些?结构化生命周期法,原型法,利用软件包开发信息系统,面向对象方法,CASE方法,软系统方法