分析 npm 或 yarn lockfile 檢測安全問題

Lockfiles 被用作資源清單的受信任白名單，從中獲取套件。 然而追蹤到 lockfile 中的修改並不是一項簡單的任務，因為它們是為機器使用而設計的。

如果有人建立了一個 Pull Request 並且偷偷地使用一個惡意的資源套件來替換一個真正的程式庫，會發生什麼事呢？

檢查你的 lockfile ，以確保它們符合預先定義的安全策略，並減輕這種安全漏洞攻擊。

✍看更多開源資訊介紹，歡迎加入 Discord Github 俱樂部 https://discord.gg/DGR7uDqSSW

https://github.com/lirantal/lockfile-lint

#純靠北工程師4hx
----------
回 #純靠北工程師4hn

PHP 很大一部分不是語言本身爛，畢竟論語言雜亂度，Perl 更勝一籌。我自己覺得是因為 PHP 入門門檻非常低，阿貓阿狗都可以掌握 PHP，導致 PHP Developers 的能力十分混雜。

論語言本身，PHP 有可以跟 HTML 混放的直覺特性，導致很多新手完全只靠直覺放程式，忽略未來的擴充及重構容易度。

論人的話，一堆屁孩會寫 PHP 就以為是程式大神，到處炫耀裝逼，但內部和實際功能爛到林北不用 10 分鐘就能 rewrite 出一個更漂亮而且好維護的版本。

更何況，一堆 PHP 程式碼慘不忍睹，不單單是程式碼風格。什麼東西都塞在一起，學不會拆分邏輯、物件導向甚至是設計模式 (Design Pattern)，活他媽像一坨煮開，雜亂無章的麵條；什麼程式碼都是從 CSDN 或內容農場複製貼上，甚至連縮排都不先弄好；更不用說，不少故步自封的 PHP Developer 連 code lint 都不知道是什麼，也不願意學習別人的最佳作法，導致程式碼到處都是潛在問題，隨時都會 explode。

相較之下，其他比較有門檻，如 Golang、Rust 之類的語言，因為有其他語言的先備知識，相對比較知道怎麼寫出好 code，也比較尊重 lint，最終成品自然就會有「PHP＝爛」，「其他語言開發出的東西比較漂亮」的刻板印象。

這道理同樣也可以套用在已納入國民教育的 Python、基礎 C++、VB 和 Scratch 身上。
----------
🗳️ [群眾審核] https://kaobei.engineer/cards/review
👉 [GitHub Repo] https://github.com/init-engineer/init.engineer
📢 [匿名發文] https://kaobei.engineer/cards/create
🥙 [全平台留言] https://kaobei.engineer/cards/show/5829

今天這篇文章的內容比較主觀，是作者列出自己認為 DevOps/SRE 2021 需要注意的工具

1. Managing Cloud Services via Kubernetes CRDs.
三大公有雲廠商目前也都推出透過 CRD 的方式來管理 Cloud Services，譬如 AWS Controllers for Kubernetes, Azure Service Operator, GCP Config Connector。一旦這些工具逐漸成熟，管理人員可以使用管理 kubernetes 的方式一併來管理相關的雲端資源。

個人看法:目前大家習慣用 Terraform, Ansible 等 IaC 等工具來管理，如果往這個方向走去，等於就是逐漸使用一個方式去管理一切。
此外也滿好奇最初的 Kubernetes Service Catalog 搭配 Broker 的方式其實也已經可以用 Yaml 等方式來管理雲端資源了，沒有仔細看 Service Catalog 目前的發展狀況，這兩者的差異有哪些

2. Pulumi
Terraform 作為 IaC 工具的龍頭老大勢必會有挑戰者對其虎視眈眈， Pulumi 這家公司就是挑戰者之一，該公司的產品提供的 IaC 工具能夠採用常見的程式語言來撰寫，避免所有開發者都要額外學習全新的 DSL。此外 Pulumi 今年度也有推出自己的 GitOps 相關工具，不過儘管如此，目前其使用社群都還是不及 Terraform.

個人看法: 當 CDK + Terraform 整合逐漸穩定後， Pulumi 的特色就會減少一項，這場戰爭目前還是看好 Terraform

3. Terragrunt & TFSEC
Terraform 因為其開放原始碼社群的緣故，有愈來愈多的整合工具來幫忙 Terraform 去處理不同的議題，這種合作模式會讓 Terraform 的功能愈來愈強大。 Terrafrunt 則是一個用來管理大型 Terraform 專案的好工具，能夠幫助開發者更友善的管理眾多設定檔案。此外 TFSEC 則是一個針對安全性議題的整合工具，幫助開發者透過靜態分析的方式去檢查當前 Terraform 的內容是否會有潛在的安全性問題。隨者 DevSecOps 的概念慢慢出來，開發與維運者也要多注重些關於安全性的整合工具。

4. Tekton
CI/CD 市場上能夠選擇的工具實在太多，而 Tekton 則是一個基於 Kubernetes 的 CI/CD pipeline 系統，相對於大部分的系統是透過單一 Yaml 去描述 Pipelin， Tekton 則是透過 CRD 的方式於去定義每個 Stage，其帶來的好處就是相同的 stage 可以重複利用，不需要針對每個 pipeline 都去重新設計

個人看法: Tekton 的架構有好有壞，隨者所有的 stage 都變成單一小CRD，管理者想要一目瞭然整個 pipeline 變得非常繁瑣，使用上也常搭配 JenkinsX 來提供複雜的 CI/CD 功能

5. Trivy
如同前面提過，DevSecOps 的概念出來後，任何部分都要去考慮安全性，而 Container Image 本身也是個不容忽視的地方。因此也有不少的開源專案針對 Container Image 來進行掃描與偵測。有些 Contianer Image Registry 直接整合相關的掃描工具，自動掃描所有更新的 Image 並且提供報告給管理人員。 掃描工具諸如 Trivy, Falco, Clair, Anchore Engine 等都值得大家多多注意。

6. ShellCheck
儘管現在有愈來愈多的工具幫助開發者來管理整個叢集，然而 shell script 的定位還是不可動搖，太多時候我們還是需要自行撰寫相關的 shell scrtip 來完成一些任務。 ShellCheck 則是一個針對 shll script 的靜態分析工具，透過 lint 與常見錯誤等分析，讓開發者能夠寫出有更好品質且更好維護的 shell script.

7. Litmus
2011 Netflix 提出 Chaos Monkey 這類型的環境檢測工具，這方面的議題就沒有減少過，即是到了充滿 Kubernetes 的今日，還是有不少的開源專案或是商業平台在提供這方面的服務，譬如 chaoskube, kube-monkey, PowerfulSeal 以及 Gremlin.
作者這邊想要強調另外一套更容易使用且容易擴充的專案 Litmus，該專案基於 Kubernetes Operator 的概念去開發，透過 ChaosEngine, ChaosExperiment 以及 ChaosResult

原文: https://medium.com/dev-genius/technologies-tools-to-watch-in-2021-a216dfc30f25