資訊專欄INFORMATION COLUMN
摘要:通過使用服務器如圖二所示,可以記錄與追蹤每個源代碼文件的哪個版本構成了軟件的相應版本。使得對打包軟件所使用源代碼文件的確切版本進行記錄與審核成為可能。
【編者按】作者 Aaron Volkmann 是 CERT Division 高級研究員,在本文中,他對 DevOps 自動化違反 SOX 法案進行了闡述。同時,也簡單的提出了如何通過 CI 來避免這個問題,本文系OneAPM工程師翻譯。
為了解決類似 Enron、Worldcom 以及 Tyco 等公司暴露出的財務欺詐丑聞,21世紀初期美國國會頒布了薩班斯-奧克斯利法案(SOX Act)。SOX 法案要求上市公司通過一系列內部控制手段,確保向投資者披露正確的財務信息。在一家 IT 公司中,遵守 SOX 方案的主要準則之一就在于:確保沒有任何員工可以單方面地在生產環境中變更軟件代碼。DevOps 的自動化技術,如持續集成(CI)、持續交付(CD)、基礎設施即代碼(IaC)從表面上看,似乎已經不再遵守 SOX 法案了。本文將會探討 DevOps 自動化如何能夠讓公司在保持兼容性的同時,還能從實際上提高其合規程度。
當軟件控制進程從傳統的手動方式轉換為更加自動化的過程時,很多公司都擔心檢查會被忽略,平衡被打破的同時也造成公司違反 SOX 法案。在圖一中所展示的傳統場景中,一名開發者對某個軟件進行變更后,先將代碼提交進入評審流程,然后通過手工或系統進行打包準備部署。新版本被提交到變更控制流程中,準備部署到生產環境中。在管理者批準將變更實施到生產環境之后,由生產服務工程師進行部署。盡管管理該過程有很多辦法,但仍無法確保評審的代碼版本就是部署到生產環境的那個版本。
通過使用 CI 服務器(如圖二所示),software shop 可以記錄與追蹤每個源代碼文件的哪個版本構成了軟件的相應版本。在持續部署的過程中會有停頓,人們在此時對變更進行檢查,準備投入生產環境;任何未經授權的變更都不能通過該環節。
CI 使得對打包軟件所使用源代碼文件的確切版本進行記錄與審核成為可能。software shop 同樣可以具備集中自動化測試的能力,這樣就能一一掃描每個軟件 build,尋找安全缺陷。
另一個可能抵制自動化的領域是服務器基礎設施配置。在 SEI,由于需要管理員手動查看服務器build,經常會有人反對使用 IaC 作為服務器配置。在使用 IaC 工具(Chef,Docker 或者Puppet)時,可以將基礎設施配置腳本作為可驗證、可測試、可信賴的軟件構件,相信它能夠產生可靠且能夠復制的結果。IaC 讓開發者有機會集中精力開發和測試配置腳本,同時允許自動化抄送測試服務器鏡像,減少人為錯誤的風險。
每家公司甚至各公司內的每個科技/商業領域都可能會有獨特的需求和限制。在特定領域,達標的自動化水平可能也會不同。通過仔細將機器布置到位,讓自動化進程按部就班,這樣一來控制、審核和保護公司資源的能力,還有確保遵守如 SOX 法案這樣聯邦法規的可能性只會增加。
原文鏈接:A DevOps a Day Keeps the Auditors Away (and Helps Organizations Stay in Compliance with Federal Regulations such as Sarbanes-Oxley)
OneAPM 是應用性能管理領域的新興領軍企業,能幫助運維人員進行故障預警和定位,減少業務系統維護的工作量,同時還能提供可追溯的性能數據,量化運維部門的業務價值。想告別加班熬夜,歡迎免費注冊使用!
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/7949.html
摘要:導讀為數人云系列活動專題,本文是月日北京站線下活動當西方的遇上東方的互聯網中京東金融王超老師的分享。王超京東金融企業高級目前在京東金融平臺負責一個人左右的應用運維團隊團隊,也曾負責人人網團隊。 導讀:[GO SRE!] 為數人云SRE系列活動專題,本文是3月4日北京站線下活動當西方的SRE遇上東方的互聯網中京東金融王超老師的分享。 他將從SRE,Devops, PE間的關系開始,介紹企...
摘要:導讀為數人云系列活動專題,本文是月日北京站線下活動當西方的遇上東方的互聯網中京東金融王超老師的分享。王超京東金融企業高級目前在京東金融平臺負責一個人左右的應用運維團隊團隊,也曾負責人人網團隊。 導讀:[GO SRE!] 為數人云SRE系列活動專題,本文是3月4日北京站線下活動當西方的SRE遇上東方的互聯網中京東金融王超老師的分享。 他將從SRE,Devops, PE間的關系開始,介紹企...
摘要:興起,與之伴隨的是公共云和多云的潮流。企業在混合多云環境中應該怎么做云計算未來會是什么樣子每個人都將在混合多云環境中工作,并且擁有無縫的移動體驗,可以在云之間移動數據和應用程序,就像我們目前使用和一樣。 作者簡介:Tom Smith,在多個行業有豐富經驗。對 IT 行業當前和未來的發展狀況頗有見解。本文中,他從獨特視角展開,探討企業及 IT 從業人員解決業務問題的辦法。翻譯/OMEGA...
摘要:如何成為云中硬核牧羊人云堡壘機服務高效運維,讓云主機不再成為落單的小羊企業運維場景難點,自檢你中招了哪些企業運維賬號眾多企業運維的服務器數量眾多,而維護人員數量有限,一個運維人員維護多臺主機多個系統的現象普遍存在。 如何成為云中硬核牧羊人?云堡壘機服務高效運維,讓云主機不再成為落單的小羊! 企業運維場景難點,自檢你中招了哪些?? 企業運維賬號眾多企業運維的服務器數量眾多,而維護人...
摘要:給出的這份預測,包括了對等等分析,包含上下兩篇。左耳朵耗子個的技巧,中文譯為代碼審查,是指對代碼進行系統性的審查,通常是和其他開發者來共同進行。 2016 年的最后幾個工作日,我們對 flow.ci Android & iOS 項目做了一些優化與修復: iOS 鏡像 cocoapods 版本更新; fir iOS上傳插件時間問題修復; Android 編譯時,gradlew文件權限問...
閱讀 1053·2021-09-13 10:29
閱讀 3400·2019-08-29 18:31
閱讀 2649·2019-08-29 11:15
閱讀 3025·2019-08-26 13:25
閱讀 1382·2019-08-26 12:00
閱讀 2329·2019-08-26 11:41
閱讀 3426·2019-08-26 10:31
閱讀 1499·2019-08-26 10:25
