监理科技也能用DevOpsChef释出资安法遵自动化工具InSpec 2.0支援云端环境设定检查

自动化工具厂商Chef在2月20日释出开源的资安法遵自动化工具InSpec 2.0，最新版本的InSpec支援测试云端环境上的设定，也能对网路基础架构或是Container等额外的元件进行测试。

Chef不只提供DevOps工具加速开发流程，现在更要企业重视安全性，达到DevSecOps（Development Security Operations），使用程序化结构以及自动化增进并扩展IT的安全性。InSpec是一款免费开源的工具，在1.0版本提供On-Premises应用程式的设定检查功能，到了2.0，InSpec能直接连接云端服务供应商的API，帮开发者测试云端环境设定安全性。

产品行销总监Julian Dunn举例，像是在AWS S3服务，最常被忽略的安全性问题就是，该隐藏的机密文件因忽略权限设定而被公开，InSpec 2.0则能自动化的检查这些设定。对于将应用程式部署在多个云端服务的企业，将能大幅降低因疏忽造成的安全性问题，或是简化繁琐的设定与检查程序。

Julian Dunn表示，目前InSpec 2.0先支援AWS以及Azure两个云端服务，未来将会继续增加，而这次的更新还包含新增30项资源，用来帮助开发者测试一般系统及应用程式一致性设定，并且能让开发者自行撰写InSpec规则，来检查SQL资料库、网站伺服器或是Docker映像档等设定。

除此之外，InSpec 2.0也宣称，比起1.0版本，在Windows上运作效能提升90％，在Linux上则提升30％。InSpec 也能将结果输出成JUnit格式，与CI/CD工具Jenkins整合。