DevOps-Compliance: Chef veröffentlicht Version 3.0 von InSpec
Das aus der Übernahme der deutschen Firma VulcanoSec stammende Werkzeug integriert Compliance-Tests in den Continuous-Delivery-Prozess.
- Alexander Neumann
Chef, ein Anbieter von Werkzeugen für das Continuous Deployment, hat die Version 3.0 von InSpec, seinem Tool zur automatisierten Compliance-Überwachung, veröffentlicht. Das in Deutschland entstandene InSpec ist seit November 2015 in Besitz von Chef. Es unterstützt Sicherheitsverantwortliche beim Umsetzen der Richtlinien durch den gesamten Lebenszyklus der Softwareentwicklung und -auslieferung.
Mit InSpec 3.0 lassen sich jetzt Plug-ins erstellen, installieren und suchen, mit denen Anwender die Funktionen von InSpec erweitern können. Plug-ins gibt es offenbar in zwei Varianten: Die InSpec-Plug-ins (mit dem Präfix inspec-) bieten neue Funktionen für die InSpec-Befehlszeile und fügen neue Befehle hinzu, die über die Standardfunktionen hinausgehen. Die sogenannten Train-Plug-ins (mit train- als Präfix) erweitern InSpec um die Fähigkeit, mit Targets und API-Endpunkten zu kommunizieren, die über die Integrationen von InSpec hinausgehen (z. B. SSH, WinRM, AWS und Docker). Plug-ins können auch mit Resource Packs von InSpec zusammenarbeiten, mit denen Benutzer eigene benutzerdefinierte Ressourcen erstellen. Wie sich Plug-ins entwickeln und installieren lassen, darüber gibt die Dokumention Aufschluss.
Ease of Use
Weitere Änderungen gehen in Richtung einer besseren Bedienbarkeit des Werkzeugs. So soll man mit InSpec 3.0 einfacher aussagekräftige Ergebnisse aus den Scans auslesen können. Man kann etwa Steuerelemente, die für ein bestimmtes System nicht relevant sind, überspringen, ohne dass für jede Server- oder Anwendungsänderung ein eindeutiges Profil erforderlich ist. Beim Erstellen von InSpec-Controls können Anwender jetzt mehrere Beschreibungsfelder bereitstellen, um zusätzlichen Kontext für jede Regel bereitzustellen, die ausgewertet wird.
Schließlich ist davon die Rede, dass die Bedeutung jedes Controls durch den impact-Parameter definiert wird, der von 0,0 (geringfügig) bis 1,0 (kritisch) reicht. Benutzer können nun alternativ eine Auswirkung als "niedrig", "mittel", "hoch" oder "kritisch" definieren, um die Lesbarkeit zu verbessern.
Weitere detaillierte Informationen bietet einerseits die Ankündigung, andererseits das Changelog zum neuen Release.
Chef Workstation
Ein weiteres von Produkt von Chef – die Chef Workstation – ist unterdessen nun ein vollwertiges Angebot. Das Unternehmen hatte es im Mai auf der ChefConf als Beta vorgestellt. Mit dem CLI-Werkzeug können Entwickler Chef-Ressourcen, -Rezepte, und -Kochbücher vom eigenen Rechner auf einem oder mehreren Servern und ohne das Installieren eines Chef-Servers ausführen. (ane)
