专家访谈：奥斯卡·昆塔斯的《基础设施即代码》

在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人，并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队（或者正义联盟，视你的忠诚度而定）。

考虑到这一点，我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员，担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178（而且还在不断增加！）背后的力量IaC 平台面临的挑战，以及我们对这个新颖的热门话题提出的所有迫切问题的首选。

我们认为他很特别，所以我们希望你能更好地了解他。在这里，他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备：

问：告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子？

答：我是产品内容团队的一员，担任高级安全研究员。典型的一天包括审查不同语言（Python、Java、Golang 和许多其他语言！）的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。

问：你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么？

答：我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题，然后根据这些信息，我提出有用的挑战，以展示每种情况的安全最佳实践。

我一直在努力为我们的战士提供良好的学习体验，并确保这是一项与工作相关且有用的练习，并持续带来好处。

问：目前，iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么？
答：基础设施即代码就是使用代码管理基础设施资源。只需几行代码，您就可以部署数百种云资源（网络、防火墙规则、虚拟机、容器等），如果配置不当，这些资源可能包含安全漏洞。因此，适用于安全应用程序部署的相同原则也可以适用于IaC，参与SDLC的每个团队都必须了解这些风险及其修复方法。

这种意识和行动始于适当的 IaC 安全培训，并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层，这在他们构建托管应用程序的基础架构时尤其重要。

问：业界对 Kubernetes 非常感兴趣，而且它似乎已被广泛使用。但是，我们的平台数据反映出Terraform是一种非常受欢迎的语言，具有很高的参与度。关于它为何如此受欢迎，你有什么见解可以分享吗？
A: Terraform 是 IaC 事实上的语言，因为它允许我们使用简单的语法在多云环境（例如 AWS、GCP、Azure）中部署基础设施资源。它允许您使用代码定义基础架构，并且可以透明地与云API交互以管理资源的部署。

这种语言用途非常广泛，由于可以将其添加到源代码控制存储库中，因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是，这也将带来必须应对的新威胁，因此必须使用Terraform进行全面的安全编码培训。

问：你是 IaC 安全专家。你工作中最棒的部分是什么？
A: IaC 仍处于起步阶段，因此经常会发布很多新内容。要及时了解这些新技术有点困难，但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。

将您的 iaC 安全性提升到一个新的水平。

如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能，请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章，了解八个常见的 IaC 安全漏洞的完整概述，包括测试他们新知识的互动挑战。

告诉我们你的分数，让奥斯卡感到骄傲！