譯者 | 李睿

審校 | 孫淑娟

一般來說，企業(yè)都希望在人力、基礎設施、流程等各個層面提高生產力。通常情況下，生產力是由增加自動化流程來推動和提高生產速度。這種自動化需要對歷史上使用的概念進行演變、調整甚至完全轉變。這其中包括安全策略的實施和控制。

事實上，自從基于敏捷性和靈活性的新工作方法(例如DevOps)出現以來，一些安全概念不得不適應基礎設施組件的開發(fā)和管理步伐。如今，最佳安全實踐之一是在集成鏈中盡早移動這些控制點，以便盡快檢測到任何值得關注的異常情況。

為什么需要左移安全性?

“左移”這一術語是由DevSecOps方法引入的，旨在加強開發(fā)、安全、運營團隊之間的協(xié)作。其思想是通過將安全性和測試過程移到軟件開發(fā)生命周期(SDLC)的傳統(tǒng)線性表示的左側，從開發(fā)周期的開始就要保證應用程序的安全性。

多年來，這種方法被公認為是最佳的開發(fā)實踐，并且自從DevOps方法出現以來，由于其使用和配置的簡單性以及在復雜項目(例如基礎設施)上的團隊協(xié)作方面的驚人優(yōu)勢而被廣泛使用Terraform、Ansible或Kubernetes進行管理。

左移安全性：入門的最佳實踐

在YAML定義文件開發(fā)級別以及在其內容和配置級別強制使用標準有助于它們的閱讀、采用和維護——這是當今任何項目都應該尋求實現的三個概念。

將安全性左移的目的是設計具有集成安全最佳實踐的軟件，并在開發(fā)過程中盡早檢測和解決潛在的安全問題和漏洞。這使得解決安全問題變得更容易、更快、更實惠。

如何左移

預提交(Pre-commit)是一個開源命令行工具，它是工具集的一部分，用于通過在每次提交后添加自動控制點來轉移某些安全方面。

這使得在集成管道中盡早檢測和控制任何異常，并在其投入生產之前進行糾正成為可能。

為此，需要三個實施步驟：

• 必須在機器上安裝預提交。
• 必須在Git項目的根目錄下創(chuàng)建一個名為“.pre-commit-config.yaml”的配置文件，并使用鉤子(Hooks)進行配置。
• Git項目需要在本地配置，以便在每次提交時自動執(zhí)行命令。

重要注意事項

人們可能在以上內容已經了解到，預提交(Pre-commit)命令和Git項目必須在本地配置為自動運行。這并不是可以從遠程源控制器強制執(zhí)行的配置。這需要在啟動階段進行項目配置步驟，以確保其應用。因此，需要文件來傳播信息并確保其采用。

然而根據場景，可以通過開發(fā)環(huán)境配置腳本(在本例中為所有團隊成員的筆記本電腦)來自動化其使用，甚至可以創(chuàng)建、共享和鼓勵團隊使用公共容器鏡像必要的開發(fā)工具。這種做法有很多優(yōu)點——特別是在新人的入職方面，因為它最大限度地減少了配置開發(fā)環(huán)境所需的操作。

但是，如果這不適用或看起來太復雜，則始終可以將這些控件進一步向下移動到集成鏈中，從而在部署之前自動使用它們。

可以使用哪些Hooks來控制Kubernetes資源?

以下列出了一組免費的Hooks，可以通過Pre-commit輕松安裝和使用。這個列表顯然可以根據場景由其他Hooks補充。為了便于閱讀，可以將列表縮減為Kubernetes生態(tài)系統(tǒng)。

以下是用于在集成管道中盡快檢查Kubernetes資源的開發(fā)和維護的預提交(Pre-commit)擴展列表：

• Check-merge-conflict：在提交任何內容之前檢查合并沖突。
• 拖尾空白：以清除無用空白中的代碼。
• Checkov：根據最佳開發(fā)實踐和自定義規(guī)則檢查Kubernetes定義文件的合規(guī)性。
• K8svalidate：根據使用的Kubernetes版本檢查Kubernetes定義文件的合規(guī)性。
• Detect-secrets：可檢測任何敏感數據，并避免將其存儲在代碼中。

大多數這些Hooks也適用于其他場景。根據項目的性質，可以添加其他幾個Hooks來控制文件的格式及其內容。但是，需要保留一份簡短的清單，以盡量減少這些對其工作效率的影響。

以下是一個Pre-commit配置文件，用于在Kubernetes項目中快速測試這些Hooks：

YAML

1 ---
2 repos:
3 - repo: https://github.com/adrienverge/yamllint.git
4 rev: v1.17.0
5 hooks:
6  - id: yamllint
7  args: [-c=.yamllint]
8  - repo: https://github.com/pre-commit/pre-commit-hooks
9  rev: v4.1.0
10  hooks:
11  - id: check-merge-conflict
12  - id: trailing-whitespace
13 - id: check-added-large-files
14  - id: end-of-file-fixer
15 - repo: https://github.com/bridgecrewio/checkov.git
16 rev: 2.0.975
17  hooks:
18  - id: checkov
19  args: [-d .]
20  - repo: https://github.com/Agilicus/pre-commit-hook-k8svalidate.git
21  rev: v0.0.8
22  hooks:
23  - id: k8svalidate
24  files: .yaml$
25  - repo: https://github.com/Yelp/detect-secrets
26  rev: v1.2.0
27  hooks:
28  - id: detect-secrets

復制此文件的內容，并將其粘貼到項目根文件夾中名為“.pre-commit-config.yaml”的文件中。然后運行pre-commit命令得到結果。

成功的預提交Hooks示例

下一步是什么?

本文列出了一組每天對管理一個或多個Kubernetes集群的人們有用的預提交Hooks。當然，還有很多其他的Hook以適應不同的環(huán)境。例如，DevOps工程師會對控制Prometheus配置甚至格式化規(guī)則或Vagrant文件控制等的擴展感興趣。

而如今有必要衡量這些Hooks的積累對人們的生產力及其收益的影響。

原文標題：??Pre-Commit Hooks DevOps Engineer Should Know To Control Kubernetes??，作者：Nicolas Giron