出于安全/复杂度的考虑,国内开源基础设施代码的组织和个人并不多。不过还是分享一下,毕竟,如果能通过工具和规范化的流程,让运维行业也能持续的获得开源社区的力量,是一件有价值的事。
https://blog.jinmiaoluo.com/posts/iac-and-encryption/
有兴趣的小伙伴,也可以直接看实现:
其实二进制代码加密本身只能避免其他人阅读代码查找逻辑漏洞的情况,安全问题本身存在是需要自己解决的
是的,二进制加密本质上不解决安全问题。
安全问题本身应该是由及时的反馈,可接受的维护成本 (自动化水平), 可持续的维护能力来保证 (从业者不会因为长期从事这个行业而怠惰).
随着规模和复杂度的提升,效率 (运维自动化) 和质量 (运维代码化) 如果跟不上,操作成本 (大规模集群) 和运维质量 (告警不断) 最终还是会压垮从业者。因此开源社区对运维效率,可持续性,和运维质量这几个方向的努力,值得借鉴。
博客文章只是对社区在基础设施代码化时,如何实现私密信息加密,做一个简单的分析和记录。当然,为什么这样做才是价值所在。开源社区在保证安全的情况下,在运维这个安全敏感的领域,实现传统软件开发中一些很好的实践,比如开源,可评审,可回退,以代码的方式实现基础设施的灾备和快速恢复 (故障时,在一个全新的机房,30 分钟内快速的拉起一整套云设施和服务). 这些才是价值所在。