Netflix 云安全团队的开源项目简介

近日，Netflix 云安全团队工程总监 Jason Chan 在 Netflix 技术博客上发文回顾了他们 3 年来发布的 15 个开源项目。他写道：

我们针对安全的开源软件往往反映出 Netflix 的独特文化。我们发布的许多工具都旨在保证高速、分布式软件开发组织的安全。

以下是他们 3 年来发布的开源项目。

• Security Monkey 是他们发布的第一个开源项目，发布时间为 2014 年 6 月。这是一款云环境安全监控工具，最初是面向 AWS 的，2017 年 3 月，谷歌工程师为它添加了 Google Cloud Platform 支持。
• Scumblr 、 Sketchy 和 Workflowable 于 2014 年 8 月同时发布。Scumblr 是一个 Web 应用程序，可以定期同步数据源，并对识别出的结果进行分析；Sketchy 是一个基于任务的 API，用于获取网站快照和文本；Workflowable 是一个 Ruby Gem，可以为 Ruby on Rails 应用程序添加灵活的工作流。它们共同组成了一个情报搜集和工作流平台。
• FIDO （Fully Integrated Defense Operation）于 2015 年 5 月发布，是一款安全事件自动响应工具。Netflix 已经不再使用它，也不再对开源代码进行维护。
• Sleepy Puppy 于 2015 年 5 月发布，是一款管理 XSS Payload 的工具，可以帮助应用程序安全团队和测试人员跟踪和评估 XSS 问题的影响。他们之前发布的博文介绍了该工具的设计和用法。
• Lemur 于 2015 年 8 月发布，是一个简化及自动化 SSL/TLS 证书管理和监控的系统。更多信息请观看他们在 AppSecUSA 大会上对 Lemur 的介绍。
• BLESS （Bastion’s Lambda Ephemeral SSH Service）于 2016 年 5 月发布，是一个作为 AWS Lambda 函数运行的 SSH 认证中心，用于签署 SSH 公共密钥。他们在 OSCON 和 QConNY 大会上对 BLESS 做过介绍。
• HubCommander 于 2017 年 2 月发布，是一个 Slack 机器人框架，他们用它对 GitHub 组织进行基于 ChatOps 的管理。虽然其初衷是用于 GitHub 维护，但最新版本已经成为一个更通用的机器人框架。
• Stethoscope 于 2017 年 2 月发布，该系统收集各种与终端用户安全主题相关的信息，并为那些终端用户提供清晰、可行的安全改进方案。
• BetterTLS 于 2017 年 4 月发布，是一个 HTTPS 客户端测试套件，实现了命名约束证书扩展的验证。关于该套件和命名约束的更多信息，请点击这里。
• Repokid 和 Aardvark 于 2017 年 6 月发布，它们的用途是简化针对AWS IAM 角色实现最小权限的流程。它们会主动监控特定IAM 角色使用的AWS 服务，并通过移除未使用服务的访问权来削减权限。详细内容参见他们去年在 OSS 聚会和 AWS re:Invent 大会上的介绍。
• Repulsive Grizzly 和 Cloudy Kraken 是 2017 年 7 月在 Skunkworks 项目中发布的，这表明，他们会提供代码，但没有定期升级或长期维护的计划。这些工具可以帮助他们模拟应用程序 DDoS 攻击。感兴趣的读者可以看下 Wired 的报道。

最后，Chan 指出，他们希望更多地利用 Skunkworks 项目来分享实验项目或者他们不打算长期支持的项目。他们还有几个考虑近期开源的项目，感兴趣的读者可以关注本博客、他们的 GitHub 站点以及 Twitter 。

感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。