Open-Source-Tools

Netflix präsentiert stolz die „schmutzige Wäsche“ seiner Entwickler

Redaktion JAXenter

© Shutterstock.com/Suzanne Tucker

Das neueste, „Dirty Laundry“ getaufte, Sicherheits-Repo von Netflix soll seine Mitarbeiter dabei unterstützen, die unbeabsichtigte Datenweitergabe vertraulicher Assets zu überwachen. Schon bald soll die interne Entwicklung dem stetig wachsenden Arsenal an Sicherheits-Tools, die der Streaming-Dienst als quelloffene Software zur Verfügung stellt, hinzugefügt werden.

Proaktive Maßnahmen

Erstmals präsentiert wurde die Plattform im Rahmen der kürzlich stattgefundenen ShmooCon 2015. Die Netflix-Ingenieure Scott Behrens und Andy Hoernecke bezeichneten sie dabei als einen Beitrag zur proaktiven Sicherheit als Lösung für die Herausforderungen, vor denen moderne Infrastrukturen stehen – namentlich Operationen, die sich vorwiegend in der Cloud abspielen.

Wie Behrens demonstrierte, kann „Dirty Laundry“ mit zahlreichen anderen Open-Source-Tools wie Monterey, Scumblr oder Sketchy verbunden werden, um kontextuelle Analysen über Apps zu erhalten. So verfolgt Monterey Assets nach und scannt nach Schwachstellen, Scumblr kann eventuelle Funde bearbeiten, und Sketchy sammelt Statuscodes, Textfetzen und erstellt Screenshots.

Ein weiteres von Behrens erwähntes Tool ist Speedbump, das er aufgrund der Einbeziehung der Anwendungsintelligenz als eine Mischung aus „WAF, Proxy und Firewall auf Steroiden“ beschrieb. Diese Art von Anwendung muss in den App-Layer eingebaut sein, damit sie Angriffe erkennen und Sicherheitsrichtlinien automatisch durchsetzen kann:

The app layer is the smartest place to roll this kind of functionality in because the app is going to have the most knowledge of what is going on. A lot of times, we think about the network layer, but really the app layer is where it’s all happening.

Netflix ist bekannt dafür, in der Vergangenheit bereits zahlreiche seiner Errungenschaften mit der Open-Source-Community geteilt zu haben. Dazu zählen beispielsweise Tools für die Überwachung der Sicherheit innerhalb der AWS-Cloud (Security Monkey: Python), Bereitstellungen und allgemeines Cloud-Management (Asgard: Groovy) sowie zentralisiertes Konfigurationsmanagement für Cassandra (Priam: Java).

Sämtliche Open-Source-Tools sind über GitHub verfügbar. Ein Video des Talks mit Behrens und Hoernecke gibt es hier zu sehen.

Aufmacherbild: Row of baseball pants hanging up to dry von Shutterstock.com / Urheberrecht: Suzanne Tucker

Geschrieben von
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: