本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
内部开发者平台的功能
内部开发者平台应提供以下功能。
| 能力 | 推荐的服务或工具 |
|---|---|
| 模板化以确保交付一套打包且功能齐全的工具 | 亚马逊 CodeCatalyst蓝图 |
| 用于开发人员之间协作的代码存储库和黄金路径模板的存储 | GitHub |
| 配置存储库作为应用程序配置的规范数据存储库 | AWS AppConfig或AWS Systems Manager 参数存储 |
| 保留已签名、可访问且可追踪的已打包组件列表的 Artifact 注册表 | 亚马逊 Elastic Container Registry (Amazon ECR) 或 AWS CodeArtifact |
| 密钥管理可为敏感数据提供安全的长期存储 | AWS Secrets Manager |
| 对工件进行加密签名和验证,以验证其中包含的数据的一致性和完整性 | AWS Signer |
| 开发者门户是所有组件、系统和域的软件目录 | 后台 |
| 身份和访问管理,以明确定义的方式进行身份验证和授权 | AWS IAM Identity Center或者亚马逊 Cognito |
| 基础设施即代码 (IaC) 工具,用于为应用程序设置基础设施资源 | AWS CloudFormation或者 AWS Cloud Development Kit (AWS CDK) |
| 持续交付基础架构和应用程序部署 | AWS CodePipeline或亚马逊 CodeCatalyst |
| 工作流程编排,为交付做好准备 | Amazon CodeCatalyst |
| 用于动态查找服务详细信息的服务发现 | AWS Cloud Map或者亚马逊 VPC Lat tice |
| 可观察性,提供工作负载监控、记录、跟踪和警报 | 亚马逊 CloudWatch AWS X-Rayhttps://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html、适用于 Prometheus 的亚马逊托管服务或亚马逊托管 Grafana |
| 托管平台功能及其集成点的计算平台 | 亚马逊弹性容器服务 (Amazon ECS) 或亚马逊 Elastic Kubernetes Service(亚马逊 EK S) |
尽管这不是内部开发者平台可以提供的所有功能的完整列表,但这些是支持开发者从开发到生产体验的基本功能。这些功能可以通过创建供开发人员使用的黄金路径来实现自动化。有关这些功能的更多信息,请参阅云原生卓越运营 (CNOE) 网站上的技术能力
如前所述,基础架构和工作负载部署的黄金途径应与贵组织的安全标准保持一致。下表描述了黄金路径应提供的安全功能。
| 黄金路径类型 | 安全能力 | 推荐工具 |
|---|---|---|
| 基础设施部署 | 林亭 | cfn-lint |
| 基础设施部署 | 安全检查 | cfn-nag 或 cdk-nag |
| 基础设施部署 | 政策检查 | AWS CloudFormation 警卫 |
| 工作负载部署 | 软件组成分析 (SCA) 和静态应用程序安全测试 (SAST) | Anchore |
| 工作负载部署 | Artical 注册表 | 在 Amazon ECR 中@@ 连续扫描图像 |
| 工作负载部署 | 秘密扫描 | git-秘密 |
| 工作负载部署 | 动态应用程序安全测试 (DAST) | Zed 攻击代理 (ZAP) |
| 工作负载部署 | 运行时应用程序自我保护 (RASP) | Sysdig Falco |
