近日,Netflix 云安全团队工程总监 Jason Chan 在 Netflix 技术博客上发文回顾了他们 3 年来发布的 15 个开源项目。他写道:
我们针对安全的开源软件往往反映出 Netflix 的独特文化。我们发布的许多工具都旨在保证高速、分布式软件开发组织的安全。
以下是他们 3 年来发布的开源项目。
- Security Monkey 是他们发布的第一个开源项目,发布时间为 2014 年 6 月。这是一款云环境安全监控工具,最初是面向 AWS 的,2017 年 3 月,谷歌工程师为它添加了 Google Cloud Platform 支持。
- Scumblr 、 Sketchy 和 Workflowable 于 2014 年 8 月同时发布。Scumblr 是一个 Web 应用程序,可以定期同步数据源,并对识别出的结果进行分析;Sketchy 是一个基于任务的 API,用于获取网站快照和文本;Workflowable 是一个 Ruby Gem,可以为 Ruby on Rails 应用程序添加灵活的工作流。它们共同组成了一个情报搜集和工作流平台。
- FIDO (Fully Integrated Defense Operation)于 2015 年 5 月发布,是一款安全事件自动响应工具。Netflix 已经不再使用它,也不再对开源代码进行维护。
- Sleepy Puppy 于 2015 年 5 月发布,是一款管理 XSS Payload 的工具,可以帮助应用程序安全团队和测试人员跟踪和评估 XSS 问题的影响。他们之前发布的博文介绍了该工具的设计和用法。
- Lemur 于 2015 年 8 月发布,是一个简化及自动化 SSL/TLS 证书管理和监控的系统。更多信息请观看他们在 AppSecUSA 大会上对 Lemur 的介绍。
- BLESS (Bastion’s Lambda Ephemeral SSH Service)于 2016 年 5 月发布,是一个作为 AWS Lambda 函数运行的 SSH 认证中心,用于签署 SSH 公共密钥。他们在 OSCON 和 QConNY 大会上对 BLESS 做过介绍。
- HubCommander 于 2017 年 2 月发布,是一个 Slack 机器人框架,他们用它对 GitHub 组织进行基于 ChatOps 的管理。虽然其初衷是用于 GitHub 维护,但最新版本已经成为一个更通用的机器人框架。
- Stethoscope 于 2017 年 2 月发布,该系统收集各种与终端用户安全主题相关的信息,并为那些终端用户提供清晰、可行的安全改进方案。
- BetterTLS 于 2017 年 4 月发布,是一个 HTTPS 客户端测试套件,实现了命名约束证书扩展的验证。关于该套件和命名约束的更多信息,请点击这里。
- Repokid 和 Aardvark 于 2017 年 6 月发布,它们的用途是简化针对AWS IAM 角色实现最小权限的流程。它们会主动监控特定IAM 角色使用的AWS 服务,并通过移除未使用服务的访问权来削减权限。详细内容参见他们去年在 OSS 聚会和 AWS re:Invent 大会上的介绍。
- Repulsive Grizzly 和 Cloudy Kraken 是 2017 年 7 月在 Skunkworks 项目中发布的,这表明,他们会提供代码,但没有定期升级或长期维护的计划。这些工具可以帮助他们模拟应用程序 DDoS 攻击。感兴趣的读者可以看下 Wired 的报道。
最后,Chan 指出,他们希望更多地利用 Skunkworks 项目来分享实验项目或者他们不打算长期支持的项目。他们还有几个考虑近期开源的项目,感兴趣的读者可以关注本博客、他们的 GitHub 站点以及 Twitter 。
感谢郭蕾对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们。
评论