XebiaLabs是DevOps和持續交付軟件工具供應商,通過其DevOps平臺推出了用於軟件版本發佈的監管、安全和合規風險評估跟蹤功能。
這些新功能旨在幫助組織跟蹤應用程序的發佈狀態信息,瞭解跨多個應用程序、團隊和環境的安全性和合規性風險。XebiaLabs表示,當持續集成/持續交付(CI/CD)管道沒有提供內置的風險評估、安全測試和合規性檢查功能時,發佈可能會失敗並導致延遲,安全漏洞可能會威脅到生產環境,IT治理違規可能導致昂貴的罰款。XebiaLabs首席執行官Derek Langone說:
爲了有效管理企業級軟件交付,DevOps團隊需要一種方法來準確地管理和報告整個軟件交付管道的監管鏈和其他合規性需求。對於他們來說,儘可能早地瞭解發佈失敗或安全問題的風險也是至關重要的。這樣,開發團隊就可以在不影響業務的情況下最快地解決問題。
XebiaLabs的DevOps平臺提供了端到端CI/CD工具鏈(從代碼到生產環境)的發佈監管鏈可見性。團隊可以對安全性和合規性問題進行評審,並採取措施解決軟件交付週期早期的發佈失敗風、安全漏洞和IT治理違規問題。XebiaLab首席產品官Rob Stroud對“監管鏈”進行了定義:
軟件開發中的監管鏈是指在任意給定時刻了解發布的狀態:發佈的內容是什麼、組件是什麼、如何配置、誰負責配置它們、已經成功通過哪些階段,以及代碼源於哪些需求。你需要知道每個版本的監管鏈,在需要重新創建或提供證據的情況下,你可以100%確定這些信息是正確的。這些信息必須是不可變的,並且必須提供滿足審計和監管所需的詳細程度。
XebiaLab DevOps平臺新版本中有一個功能是增強的監管鏈報告,它提供了一個部署儀表盤,可以顯示正在部署的內容、部署人員以及部署狀態,不依賴部署工具或目標環境。目標環境可以是本地環境、私有云、公共雲或混合雲。用戶可以查看在哪裏部署了什麼東西,並跟蹤到功能開發和交付階段,深入查看已完成版本的監管鏈,找出緩慢的流程、瓶頸、痛點以及需要改進和提高自動化程度的領域。監管鏈顯示了每個應用程序的哪個版本部署到每個環境,並追溯每個功能屬於哪個應用程序版本。
新版本還提供了一個軟件版本安全風險儀表盤,它將軟件交付管道的自動風險評估與Black Duck、Fortify、SonarQube和Checkmarx等常用工具的安全性和合規性信息結合在了一起。可視化安全風險可以幫助團隊儘早進行安全性和合規性方面的活動,這樣他們就可以更早地檢測應用程序漏洞,在開發期間解決這些漏洞,避免它們進入生產環境。自動趨勢分析爲該功能提供了進一步支持。
查看英文原文:https://www.infoq.com/news/2019/01/XebiaLabs-DevOps-Risk-Compliance