谈 DevOps 自动化时,也应该考虑到 SOX 等法案
2019独角兽企业重金招聘Python工程师标准>>> 
【编者按】作者 Aaron Volkmann 是 CERT Division 高级研究员,在本文中,他对 DevOps 自动化违反 SOX 法案进行了阐述。同时,也简单的提出了如何通过 CI 来避免这个问题,本文系OneAPM工程师翻译。
为了解决类似 Enron、Worldcom 以及 Tyco 等公司暴露出的财务欺诈丑闻,21世纪初期美国国会颁布了萨班斯-奥克斯利法案(SOX Act)。SOX 法案要求上市公司通过一系列内部控制手段,确保向投资者披露正确的财务信息。在一家 IT 公司中,遵守 SOX 方案的主要准则之一就在于:确保没有任何员工可以单方面地在生产环境中变更软件代码。DevOps 的自动化技术,如持续集成(CI)、持续交付(CD)、基础设施即代码(IaC)从表面上看,似乎已经不再遵守 SOX 法案了。本文将会探讨 DevOps 自动化如何能够让公司在保持兼容性的同时,还能从实际上提高其合规程度。
当软件控制进程从传统的手动方式转换为更加自动化的过程时,很多公司都担心检查会被忽略,平衡被打破的同时也造成公司违反 SOX 法案。在图一中所展示的传统场景中,一名开发者对某个软件进行变更后,先将代码提交进入评审流程,然后通过手工或系统进行打包准备部署。新版本被提交到变更控制流程中,准备部署到生产环境中。在管理者批准将变更实施到生产环境之后,由生产服务工程师进行部署。尽管管理该过程有很多办法,但仍无法确保评审的代码版本就是部署到生产环境的那个版本。
通过使用 CI 服务器(如图二所示),software shop 可以记录与追踪每个源代码文件的哪个版本构成了软件的相应版本。在持续部署的过程中会有停顿,人们在此时对变更进行检查,准备投入生产环境;任何未经授权的变更都不能通过该环节。
CI 使得对打包软件所使用源代码文件的确切版本进行记录与审核成为可能。software shop 同样可以具备集中自动化测试的能力,这样就能一一扫描每个软件 build,寻找安全缺陷。
另一个可能抵制自动化的领域是服务器基础设施配置。在 SEI,由于需要管理员手动查看服务器build,经常会有人反对使用 IaC 作为服务器配置。在使用 IaC 工具(Chef,Docker 或者Puppet)时,可以将基础设施配置脚本作为可验证、可测试、可信赖的软件构件,相信它能够产生可靠且能够复制的结果。IaC 让开发者有机会集中精力开发和测试配置脚本,同时允许自动化抄送测试服务器镜像,减少人为错误的风险。
每家公司甚至各公司内的每个科技/商业领域都可能会有独特的需求和限制。在特定领域,达标的自动化水平可能也会不同。通过仔细将机器布置到位,让自动化进程按部就班,这样一来控制、审核和保护公司资源的能力,还有确保遵守如 SOX 法案这样联邦法规的可能性只会增加。
原文链接:A DevOps a Day Keeps the Auditors Away (and Helps Organizations Stay in Compliance with Federal Regulations such as Sarbanes-Oxley)
OneAPM 是应用性能管理领域的新兴领军企业,能帮助运维人员进行故障预警和定位,减少业务系统维护的工作量,同时还能提供可追溯的性能数据,量化运维部门的业务价值。想告别加班熬夜,欢迎免费注册使用!
转载于:https://my.oschina.net/oneapmofficial/blog/522102
谈 DevOps 自动化时,也应该考虑到 SOX 等法案相关推荐
- 从零到一构建CI/CD的DevOps自动化流水线,需要考虑的开源项目
构建CI/CD的DevOps自动化流水线的步骤 1.DevOps 和 CI/CD 流水线的简要介绍 2 构建CI/CD流水线需考虑的步骤 第一步:CI/CD 框架 第二步:源代码控制管理 第三步:自动 ...
- 上海国际快递物流展浅谈快递自动化分拣设备市场“起风了”!
上海国际快递物流展浅谈快递自动化分拣设备市场"起风了"! " 自动化分拣设备市场"起风了"." "未来5年,要深入挖掘'快递经济' ...
- 技术沙龙|京东云DevOps自动化运维技术实践
自动化测试体系不完善.缺少自助式的持续交付平台.系统间耦合度高服务拆分难度大.成熟的DevOps工程师稀缺,缺少敏捷文化--这些都是DevOps 在落地过程中,或多或少会碰到的问题,DevOps发展任 ...
- 谈DevOps研发运维一体化解决方案PPT制作
今天准备谈下DevOps产品解决方案PPT材料的制作和修订,在前面实际我分享过云原生和DevOps的相关技术解决方案材料,但是实际在和客户交流后并没有达到很好的效果,简单总结来说就是材料太偏技术化,没 ...
- 【Kubernetes 企业项目实战】06、基于 Jenkins+K8s 构建 DevOps 自动化运维管理平台(上)
目录 一.k8s 助力 DevOps 在企业落地实践 1.1 传统方式部署项目为什么发布慢,效率低? 1.2 上线一个功能,有多少时间被浪费了? 1.3 如何解决发布慢,效率低的问题呢? 1.4 什么 ...
- 使用Docker安装Gitlab,Jenkins,Tomcat搭建流水线项目环境,实现DevOps自动化步骤,很详细
使用Docker安装Gitlab,Jenkins,Tomcat搭建流水线项目,实现DevOps自动化 写在前头,入职公司不久,发现公司都是用的Jenkins来实现自动化项目部署,十分方便,但作为底层开 ...
- 【福利帖】当我谈学习视觉时,我谈些什么
目录 当我谈学习视觉时,我谈些什么 硬件 软件 算法平台:VisionMaster 应用平台:GeneralFramework 项目 资料获取(不容错过!!!) 当我谈学习视觉时,我谈些什么 初次接触 ...
- web自动化时,怎么定位鼠标悬浮时才出现的元素
web自动化时,怎么定位鼠标悬浮时才出现的元素 如图所示, 想要定位"修改密码",必须先鼠标悬浮在头像位置,才能看到 修改密码,然后按正常操作在F12里就没办法定位"修改 ...
- python出现traceback什么意思_浅谈python出错时traceback的解读
写 Python 代码的时候,当代码中出现错误,会在输出的时候打印 Traceback 错误信息,很多初学者看到那一堆错误信息,往往都会处于懵逼状态,脑中总会冒出一句,这都是些啥玩意.如果你是第一次 ...
最新文章
- python3改变路径出现的SyntaxError问题
- ExtJS中xtype 概览
- linux2.6内核分析,linux2.6内核分析——LRU链表
- 前端学习(2792):下拉刷新
- 博客地址 RSS地址
- 需求评审流程该如何高效的走下去
- 如何解决“There is no locally stored library”的问题
- 【语义分割】数据增强方法(原图与标签同时扩增)
- 支持access的php框架,NginX友好的PHP框架
- 面向对象的三个基本特征_杂谈:JavaScript面向对象
- Fiddler4 抓取Chrome浏览器的Http(s)
- 夏天想美美的出门?店湾妹的“明星穿搭教科书”,很美有木有?
- 开发者,别让自己孤独
- 新一代最强开源UI自动化测试神器 Playwright - 元素定位
- 数据可视化|用堆叠条形图进行对比分析
- 计算机基础 CMOS
- 24位行业精英:2018,区块链教会我最重要的一件事 |链捕手
- php 文件夹打包zip压缩包
- 全国计算机等级考试二级 Python语言程序设计考试大纲(2022年版)
- macOS 安装 python