摘要:通過(guò)使用服務(wù)器如圖二所示,可以記錄與追蹤每個(gè)源代碼文件的哪個(gè)版本構(gòu)成了軟件的相應(yīng)版本。使得對(duì)打包軟件所使用源代碼文件的確切版本進(jìn)行記錄與審核成為可能。
【編者按】作者 Aaron Volkmann 是 CERT Division 高級(jí)研究員,在本文中,他對(duì) DevOps 自動(dòng)化違反 SOX 法案進(jìn)行了闡述。同時(shí),也簡(jiǎn)單的提出了如何通過(guò) CI 來(lái)避免這個(gè)問(wèn)題,本文系OneAPM工程師翻譯。
為了解決類似 Enron、Worldcom 以及 Tyco 等公司暴露出的財(cái)務(wù)欺詐丑聞,21世紀(jì)初期美國(guó)國(guó)會(huì)頒布了薩班斯-奧克斯利法案(SOX Act)。SOX 法案要求上市公司通過(guò)一系列內(nèi)部控制手段,確保向投資者披露正確的財(cái)務(wù)信息。在一家 IT 公司中,遵守 SOX 方案的主要準(zhǔn)則之一就在于:確保沒(méi)有任何員工可以單方面地在生產(chǎn)環(huán)境中變更軟件代碼。DevOps 的自動(dòng)化技術(shù),如持續(xù)集成(CI)、持續(xù)交付(CD)、基礎(chǔ)設(shè)施即代碼(IaC)從表面上看,似乎已經(jīng)不再遵守 SOX 法案了。本文將會(huì)探討 DevOps 自動(dòng)化如何能夠讓公司在保持兼容性的同時(shí),還能從實(shí)際上提高其合規(guī)程度。
當(dāng)軟件控制進(jìn)程從傳統(tǒng)的手動(dòng)方式轉(zhuǎn)換為更加自動(dòng)化的過(guò)程時(shí),很多公司都擔(dān)心檢查會(huì)被忽略,平衡被打破的同時(shí)也造成公司違反 SOX 法案。在圖一中所展示的傳統(tǒng)場(chǎng)景中,一名開(kāi)發(fā)者對(duì)某個(gè)軟件進(jìn)行變更后,先將代碼提交進(jìn)入評(píng)審流程,然后通過(guò)手工或系統(tǒng)進(jìn)行打包準(zhǔn)備部署。新版本被提交到變更控制流程中,準(zhǔn)備部署到生產(chǎn)環(huán)境中。在管理者批準(zhǔn)將變更實(shí)施到生產(chǎn)環(huán)境之后,由生產(chǎn)服務(wù)工程師進(jìn)行部署。盡管管理該過(guò)程有很多辦法,但仍無(wú)法確保評(píng)審的代碼版本就是部署到生產(chǎn)環(huán)境的那個(gè)版本。
通過(guò)使用 CI 服務(wù)器(如圖二所示),software shop 可以記錄與追蹤每個(gè)源代碼文件的哪個(gè)版本構(gòu)成了軟件的相應(yīng)版本。在持續(xù)部署的過(guò)程中會(huì)有停頓,人們?cè)诖藭r(shí)對(duì)變更進(jìn)行檢查,準(zhǔn)備投入生產(chǎn)環(huán)境;任何未經(jīng)授權(quán)的變更都不能通過(guò)該環(huán)節(jié)。
CI 使得對(duì)打包軟件所使用源代碼文件的確切版本進(jìn)行記錄與審核成為可能。software shop 同樣可以具備集中自動(dòng)化測(cè)試的能力,這樣就能一一掃描每個(gè)軟件 build,尋找安全缺陷。
另一個(gè)可能抵制自動(dòng)化的領(lǐng)域是服務(wù)器基礎(chǔ)設(shè)施配置。在 SEI,由于需要管理員手動(dòng)查看服務(wù)器build,經(jīng)常會(huì)有人反對(duì)使用 IaC 作為服務(wù)器配置。在使用 IaC 工具(Chef,Docker 或者Puppet)時(shí),可以將基礎(chǔ)設(shè)施配置腳本作為可驗(yàn)證、可測(cè)試、可信賴的軟件構(gòu)件,相信它能夠產(chǎn)生可靠且能夠復(fù)制的結(jié)果。IaC 讓開(kāi)發(fā)者有機(jī)會(huì)集中精力開(kāi)發(fā)和測(cè)試配置腳本,同時(shí)允許自動(dòng)化抄送測(cè)試服務(wù)器鏡像,減少人為錯(cuò)誤的風(fēng)險(xiǎn)。
每家公司甚至各公司內(nèi)的每個(gè)科技/商業(yè)領(lǐng)域都可能會(huì)有獨(dú)特的需求和限制。在特定領(lǐng)域,達(dá)標(biāo)的自動(dòng)化水平可能也會(huì)不同。通過(guò)仔細(xì)將機(jī)器布置到位,讓自動(dòng)化進(jìn)程按部就班,這樣一來(lái)控制、審核和保護(hù)公司資源的能力,還有確保遵守如 SOX 法案這樣聯(lián)邦法規(guī)的可能性只會(huì)增加。
原文鏈接:A DevOps a Day Keeps the Auditors Away (and Helps Organizations Stay in Compliance with Federal Regulations such as Sarbanes-Oxley)
OneAPM 是應(yīng)用性能管理領(lǐng)域的新興領(lǐng)軍企業(yè),能幫助運(yùn)維人員進(jìn)行故障預(yù)警和定位,減少業(yè)務(wù)系統(tǒng)維護(hù)的工作量,同時(shí)還能提供可追溯的性能數(shù)據(jù),量化運(yùn)維部門(mén)的業(yè)務(wù)價(jià)值。想告別加班熬夜,歡迎免費(fèi)注冊(cè)使用!
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/7949.html
摘要:導(dǎo)讀為數(shù)人云系列活動(dòng)專題,本文是月日北京站線下活動(dòng)當(dāng)西方的遇上東方的互聯(lián)網(wǎng)中京東金融王超老師的分享。王超京東金融企業(yè)高級(jí)目前在京東金融平臺(tái)負(fù)責(zé)一個(gè)人左右的應(yīng)用運(yùn)維團(tuán)隊(duì)團(tuán)隊(duì),也曾負(fù)責(zé)人人網(wǎng)團(tuán)隊(duì)。 導(dǎo)讀:[GO SRE!] 為數(shù)人云SRE系列活動(dòng)專題,本文是3月4日北京站線下活動(dòng)當(dāng)西方的SRE遇上東方的互聯(lián)網(wǎng)中京東金融王超老師的分享。 他將從SRE,Devops, PE間的關(guān)系開(kāi)始,介紹企...
摘要:導(dǎo)讀為數(shù)人云系列活動(dòng)專題,本文是月日北京站線下活動(dòng)當(dāng)西方的遇上東方的互聯(lián)網(wǎng)中京東金融王超老師的分享。王超京東金融企業(yè)高級(jí)目前在京東金融平臺(tái)負(fù)責(zé)一個(gè)人左右的應(yīng)用運(yùn)維團(tuán)隊(duì)團(tuán)隊(duì),也曾負(fù)責(zé)人人網(wǎng)團(tuán)隊(duì)。 導(dǎo)讀:[GO SRE!] 為數(shù)人云SRE系列活動(dòng)專題,本文是3月4日北京站線下活動(dòng)當(dāng)西方的SRE遇上東方的互聯(lián)網(wǎng)中京東金融王超老師的分享。 他將從SRE,Devops, PE間的關(guān)系開(kāi)始,介紹企...
摘要:興起,與之伴隨的是公共云和多云的潮流。企業(yè)在混合多云環(huán)境中應(yīng)該怎么做云計(jì)算未來(lái)會(huì)是什么樣子每個(gè)人都將在混合多云環(huán)境中工作,并且擁有無(wú)縫的移動(dòng)體驗(yàn),可以在云之間移動(dòng)數(shù)據(jù)和應(yīng)用程序,就像我們目前使用和一樣。 作者簡(jiǎn)介:Tom Smith,在多個(gè)行業(yè)有豐富經(jīng)驗(yàn)。對(duì) IT 行業(yè)當(dāng)前和未來(lái)的發(fā)展?fàn)顩r頗有見(jiàn)解。本文中,他從獨(dú)特視角展開(kāi),探討企業(yè)及 IT 從業(yè)人員解決業(yè)務(wù)問(wèn)題的辦法。翻譯/OMEGA...
摘要:如何成為云中硬核牧羊人云堡壘機(jī)服務(wù)高效運(yùn)維,讓云主機(jī)不再成為落單的小羊企業(yè)運(yùn)維場(chǎng)景難點(diǎn),自檢你中招了哪些企業(yè)運(yùn)維賬號(hào)眾多企業(yè)運(yùn)維的服務(wù)器數(shù)量眾多,而維護(hù)人員數(shù)量有限,一個(gè)運(yùn)維人員維護(hù)多臺(tái)主機(jī)多個(gè)系統(tǒng)的現(xiàn)象普遍存在。 如何成為云中硬核牧羊人?云堡壘機(jī)服務(wù)高效運(yùn)維,讓云主機(jī)不再成為落單的小羊! 企業(yè)運(yùn)維場(chǎng)景難點(diǎn),自檢你中招了哪些?? 企業(yè)運(yùn)維賬號(hào)眾多企業(yè)運(yùn)維的服務(wù)器數(shù)量眾多,而維護(hù)人...
摘要:給出的這份預(yù)測(cè),包括了對(duì)等等分析,包含上下兩篇。左耳朵耗子個(gè)的技巧,中文譯為代碼審查,是指對(duì)代碼進(jìn)行系統(tǒng)性的審查,通常是和其他開(kāi)發(fā)者來(lái)共同進(jìn)行。 2016 年的最后幾個(gè)工作日,我們對(duì) flow.ci Android & iOS 項(xiàng)目做了一些優(yōu)化與修復(fù): iOS 鏡像 cocoapods 版本更新; fir iOS上傳插件時(shí)間問(wèn)題修復(fù); Android 編譯時(shí),gradlew文件權(quán)限問(wèn)...
閱讀 1040·2021-09-13 10:29
閱讀 3391·2019-08-29 18:31
閱讀 2633·2019-08-29 11:15
閱讀 3012·2019-08-26 13:25
閱讀 1369·2019-08-26 12:00
閱讀 2293·2019-08-26 11:41
閱讀 3377·2019-08-26 10:31
閱讀 1488·2019-08-26 10:25