近日,Netflix云安全团队工程总监Jason Chan在Netflix技术博客上发文回顾了他们3年来发布的15个开源项目。他写道:
我们针对安全的开源软件往往反映出Netflix的独特文化。我们发布的许多工具都旨在保证高速、分布式软件开发组织的安全。
以下是他们3年来发布的开源项目。
Security Monkey是他们发布的第一个开源项目,发布时间为2014年6月。这是一款云环境安全监控工具,最初是面向AWS的,2017年3月,谷歌工程师为它添加了Google Cloud Platform支持。 Scumblr、Sketchy和Workflowable于2014年8月同时发布。Scumblr是一个Web应用程序,可以定期同步数据源,并对识别出的结果进行分析;Sketchy是一个基于任务的API,用于获取网站快照和文本;Workflowable是一个Ruby Gem,可以为Ruby on Rails应用程序添加灵活的工作流。它们共同组成了一个情报搜集和工作流平台。 FIDO(Fully Integrated Defense Operation)于2015年5月发布,是一款安全事件自动响应工具。Netflix已经不再使用它,也不再对开源代码进行维护。 Sleepy Puppy于2015年5月发布,是一款管理XSS Payload的工具,可以帮助应用程序安全团队和测试人员跟踪和评估XSS问题的影响。他们之前发布的博文介绍了该工具的设计和用法。 Lemur于2015年8月发布,是一个简化及自动化SSL/TLS证书管理和监控的系统。更多信息请观看他们在AppSecUSA大会上对Lemur的介绍。 BLESS(Bastion’s Lambda Ephemeral SSH Service)于2016年5月发布,是一个作为AWS Lambda函数运行的SSH认证中心,用于签署SSH公共密钥。他们在OSCON和QConNY大会上对BLESS做过介绍。 HubCommander于2017年2月发布,是一个Slack机器人框架,他们用它对GitHub组织进行基于ChatOps的管理。虽然其初衷是用于GitHub维护,但最新版本已经成为一个更通用的机器人框架。 Stethoscope于2017年2月发布,该系统收集各种与终端用户安全主题相关的信息,并为那些终端用户提供清晰、可行的安全改进方案。 BetterTLS于2017年4月发布,是一个HTTPS客户端测试套件,实现了命名约束证书扩展的验证。关于该套件和命名约束的更多信息,请点击这里。 Repokid和Aardvark于2017年6月发布,它们的用途是简化针对AWS IAM角色实现最小权限的流程。它们会主动监控特定IAM角色使用的AWS服务,并通过移除未使用服务的访问权来削减权限。详细内容参见他们去年在OSS聚会和AWS re:Invent 大会上的介绍。 Repulsive Grizzly和Cloudy Kraken是2017年7月在Skunkworks项目中发布的,这表明,他们会提供代码,但没有定期升级或长期维护的计划。这些工具可以帮助他们模拟应用程序DDoS攻击。感兴趣的读者可以看下Wired 的报道。
最后,Chan指出,他们希望更多地利用Skunkworks项目来分享实验项目或者他们不打算长期支持的项目。他们还有几个考虑近期开源的项目,感兴趣的读者可以关注本博客、他们的GitHub站点以及Twitter。
本文转自d1net(转载)
