XebiaLabs DevOps 平台推出软件发布风险和合规性管理功能

XebiaLabs 是 DevOps 和持续交付软件工具供应商，通过其 DevOps 平台推出了用于软件版本发布的监管、安全和合规风险评估跟踪功能。

这些新功能旨在帮助组织跟踪应用程序的发布状态信息，了解跨多个应用程序、团队和环境的安全性和合规性风险。XebiaLabs 表示，当持续集成/持续交付（CI/CD）管道没有提供内置的风险评估、安全测试和合规性检查功能时，发布可能会失败并导致延迟，安全漏洞可能会威胁到生产环境，IT 治理违规可能导致昂贵的罚款。XebiaLabs 首席执行官 Derek Langone 说：

为了有效管理企业级软件交付，DevOps 团队需要一种方法来准确地管理和报告整个软件交付管道的监管链和其他合规性需求。对于他们来说，尽可能早地了解发布失败或安全问题的风险也是至关重要的。这样，开发团队就可以在不影响业务的情况下最快地解决问题。

XebiaLabs 的 DevOps 平台提供了端到端 CI/CD 工具链（从代码到生产环境）的发布监管链可见性。团队可以对安全性和合规性问题进行评审，并采取措施解决软件交付周期早期的发布失败风、安全漏洞和 IT 治理违规问题。XebiaLab 首席产品官 Rob Stroud 对“监管链”进行了定义：

软件开发中的监管链是指在任意给定时刻了解发布的状态：发布的内容是什么、组件是什么、如何配置、谁负责配置它们、已经成功通过哪些阶段，以及代码源于哪些需求。你需要知道每个版本的监管链，在需要重新创建或提供证据的情况下，你可以 100％确定这些信息是正确的。这些信息必须是不可变的，并且必须提供满足审计和监管所需的详细程度。

XebiaLab DevOps 平台新版本中有一个功能是增强的监管链报告，它提供了一个部署仪表盘，可以显示正在部署的内容、部署人员以及部署状态，不依赖部署工具或目标环境。目标环境可以是本地环境、私有云、公共云或混合云。用户可以查看在哪里部署了什么东西，并跟踪到功能开发和交付阶段，深入查看已完成版本的监管链，找出缓慢的流程、瓶颈、痛点以及需要改进和提高自动化程度的领域。监管链显示了每个应用程序的哪个版本部署到每个环境，并追溯每个功能属于哪个应用程序版本。

新版本还提供了一个软件版本安全风险仪表盘，它将软件交付管道的自动风险评估与 Black Duck、Fortify、SonarQube 和 Checkmarx 等常用工具的安全性和合规性信息结合在了一起。可视化安全风险可以帮助团队尽早进行安全性和合规性方面的活动，这样他们就可以更早地检测应用程序漏洞，在开发期间解决这些漏洞，避免它们进入生产环境。自动趋势分析为该功能提供了进一步支持。

查看英文原文：https://www.infoq.com/news/2019/01/XebiaLabs-DevOps-Risk-Compliance