近日,Netflix云安全團隊工程總監Jason Chan在Netflix技術博客上發文回顧了他們3年來發布的15個開源項目。他寫道:
我們針對安全的開源軟件往往反映出Netflix的獨特文化。我們發布的許多工具都旨在保證高速、分布式軟件開發組織的安全。
以下是他們3年來發布的開源項目。
Security Monkey是他們發布的第一個開源項目,發布時間為2014年6月。這是一款云環境安全監控工具,最初是面向AWS的,2017年3月,谷歌工程師為它添加了Google Cloud Platform支持。 Scumblr、Sketchy和Workflowable于2014年8月同時發布。Scumblr是一個Web應用程序,可以定期同步數據源,并對識別出的結果進行分析;Sketchy是一個基于任務的API,用于獲取網站快照和文本;Workflowable是一個Ruby Gem,可以為Ruby on Rails應用程序添加靈活的工作流。它們共同組成了一個情報搜集和工作流平臺。 FIDO(Fully Integrated Defense Operation)于2015年5月發布,是一款安全事件自動響應工具。Netflix已經不再使用它,也不再對開源代碼進行維護。 Sleepy Puppy于2015年5月發布,是一款管理XSS Payload的工具,可以幫助應用程序安全團隊和測試人員跟蹤和評估XSS問題的影響。他們之前發布的博文介紹了該工具的設計和用法。 Lemur于2015年8月發布,是一個簡化及自動化SSL/TLS證書管理和監控的系統。更多信息請觀看他們在AppSecUSA大會上對Lemur的介紹。 BLESS(Bastion’s Lambda Ephemeral SSH Service)于2016年5月發布,是一個作為AWS Lambda函數運行的SSH認證中心,用于簽署SSH公共密鑰。他們在OSCON和QConNY大會上對BLESS做過介紹。 HubCommander于2017年2月發布,是一個Slack機器人框架,他們用它對GitHub組織進行基于ChatOps的管理。雖然其初衷是用于GitHub維護,但最新版本已經成為一個更通用的機器人框架。 Stethoscope于2017年2月發布,該系統收集各種與終端用戶安全主題相關的信息,并為那些終端用戶提供清晰、可行的安全改進方案。 BetterTLS于2017年4月發布,是一個HTTPS客戶端測試套件,實現了命名約束證書擴展的驗證。關于該套件和命名約束的更多信息,請點擊這里。 Repokid和Aardvark于2017年6月發布,它們的用途是簡化針對AWS IAM角色實現最小權限的流程。它們會主動監控特定IAM角色使用的AWS服務,并通過移除未使用服務的訪問權來削減權限。詳細內容參見他們去年在OSS聚會和AWS re:Invent 大會上的介紹。 Repulsive Grizzly和Cloudy Kraken是2017年7月在Skunkworks項目中發布的,這表明,他們會提供代碼,但沒有定期升級或長期維護的計劃。這些工具可以幫助他們模擬應用程序DDoS攻擊。感興趣的讀者可以看下Wired 的報道。最后,Chan指出,他們希望更多地利用Skunkworks項目來分享實驗項目或者他們不打算長期支持的項目。他們還有幾個考慮近期開源的項目,感興趣的讀者可以關注本博客、他們的GitHub站點以及Twitter。
京公網安備 11010502049343號