本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
內部開發人員平台的功能
內部開發人員平台應提供下列功能。
| 功能 | 建議的服務或工具 |
|---|---|
| 設定範本以確保交付封裝和功能的工具集 | Amazon CodeCatalyst 藍圖 |
| 用於開發人員與黃金路徑範本儲存之間協同合作的程式碼儲存庫 | GitHub |
| 組態儲存庫做為應用程式組態的正式資料存放區 | AWS AppConfig 或 AWS Systems Manager 參數存放區 |
| 保存已簽章、可存取且可追蹤的封裝元件清單的成品登錄檔 | Amazon Elastic Container Registry (Amazon ECR) 或 AWS CodeArtifact |
| 秘密管理,為敏感資料提供安全的長期儲存 | AWS Secrets Manager |
| 成品的密碼編譯簽署和驗證,以允許驗證其所含資料的一致性和完整性 | AWS Signer |
| 開發人員入口網站做為所有元件、系統和網域的軟體目錄 | 後台 |
| 身分和存取管理,以明確定義的方式進行身分驗證和授權 | AWS IAM Identity Center 或 Amazon Cognito |
| 基礎設施即程式碼 (IaC) 工具,用於設定應用程式的基礎設施資源 | AWS CloudFormation 或 AWS Cloud Development Kit (AWS CDK) |
| 基礎設施和應用程式部署的持續交付 | AWS CodePipeline 或 Amazon CodeCatalyst |
| 為交付準備資源的工作流程協同運作 | Amazon CodeCatalyst |
| 用於動態查詢服務詳細資訊的服務探索 | AWS Cloud Map 或 Amazon VPC Lattice |
| 提供工作負載監控、記錄、追蹤和提醒的可觀測性 | Amazon CloudWatch、AWS X-Ray、Amazon Managed Service for Prometheus 或 Amazon Managed Grafana |
| 託管平台功能及其整合點的運算平台 | Amazon Elastic Container Service (Amazon ECS) 或 Amazon Elastic Kubernetes Service (Amazon EKS) |
雖然這不是內部開發人員平台可以提供的所有功能的完整清單,但這些是支援開發人員從開發到生產體驗的基本功能。這些功能可以透過建立開發人員使用的黃金路徑來自動化。如需這些功能的詳細資訊,請參閱 雲端原生卓越營運 (CNOE) 網站上的技術功能
如前所述,基礎設施和工作負載部署的黃金路徑應與組織的安全標準保持一致。下表說明黃金路徑應提供的安全功能。
| 黃金路徑類型 | 安全功能 | 建議工具 |
|---|---|---|
| 基礎設施部署 | 內嵌 | cfn-lint |
| 基礎設施部署 | 安全檢查 | cfn-nag |
| 基礎設施部署 | 政策檢查 | AWS CloudFormation 防護 |
| 工作負載部署 | 軟體合成分析 (SCA) 和靜態應用程式安全測試 (SAST) | Anchore |
| 工作負載部署 | 成品登錄檔 | Amazon ECR 中的連續映像掃描 |
| 工作負載部署 | 秘密掃描 | git-secrets |
| 工作負載部署 | 動態應用程式安全測試 (DAST) | Zed 攻擊代理 (ZAP) |
| 工作負載部署 | 執行期應用程式自我保護 (RASP) | Sysdig Falco |
