微信号:infoqchina

介绍:有内容的技术社区媒体

OpenStack基金会发布白皮书,推进容器技术;LinkedIn发布检测Android应用漏洞工具QARK

2015-09-09 08:25 Q新闻

1
推进容器技术
OpenStack基金会发布白皮书


最近的一项调查显示,69%的公司将会在下一年在生产环境中使用容器。为了更好地说明容器现下如此广受关注的原因,OpenStack基金会近期发布了一篇名为《探索机遇:容器与OpenStack》的白皮书。


来自Mirantis、Rackspace还有思科公司的研究者,在18页的白皮书中详细介绍了在OpenStack基础设施中容器的使用价值,简要概述了如何使用OpenStack Nova搭建容器托管环境。白皮书还介绍了OpenStack Compute项目。此外,白皮书还给出了现在和未来容器的一些使用案例。以Lithium科技公司为例,该公司为超过400家企业(其中包括谷歌、美国电话电报公司、丝芙兰公司等)推进“社交平台即服务”业务,这家公司的运行就得益于OpenStack私有云服务。白皮书概述了Lithium公司如何通过使用Docker和Kubernetes容器编排与集群,过渡到一个架构更加完美的使用容器的公司典范。


容器在发展过程中颇受争议,但是这也促使人们思考容器将会给OpenStack的需求带来怎样的影响。有着长远考虑的分析者认为,容器会与OpenStack和谐共存,创新型公司将会创造一个多种技术混合的多元环境。


今年五月的OpenStack峰会期间,有一整天被专门用于讨论容器。OpenStack基金会的首席运营官Mark Collier在他的主题报告中,深入讨论了容器。他解释道,就像OpenStack擅长帮助企业管理VM部署和虚拟化他们的数据中心一样,容器技术也可以做同样的事情。对于用户而言,最重要的是将OpenStack当成黑盒一样的集成引擎,这样用户就能利用OpenStack更好地完成他们的工作。在计算、储存、联网等方面无需做重复劳动,对于容器也是一样。


对于一般人来说,容器十分便携,隔离环境使得开发者可以使用所有需要的依赖项和库来打包应用程序。容器与虚拟机有很多相似点,它们之间也有很多不同。比如说,容器和虚拟机共享一些资源(如操作系统内核),但是它们分离应用与其他服务的方式却不同。


白皮书深入调研了OpenStack的容器管理、不同的容器相关服务以及即将发布的新版OpenStack,可以帮助公司了解如何利用OpenStack发挥容器的效用。上图为OpenStack“容器即服务”的支持架构。


以下是几点使用容器的理由,节选自白皮书:


  • 获得固定的软件包装,可以完美适应于不变的基础结构模型。

  • 可以封装微服务。

  • 在OpenStack虚拟机和裸机服务器(Ironic)上,可以启用容器的可移植性。


去年,OpenStack社区决定开始支持容器和第三方容器支持者(如,Docker Swarm、Kubernetes、Mesos等)。OpenStack将相关技术命名为“容器编制引擎(COEs,Container Orchestration Engines)”,三个COE系统全部可以在OpenStack Magnum容器服务中获得支持。


现在,OpenStack支持Linux容器(LXC)和Virtuozzo系统容器。Docker应用容器以及Docker Swarm、Kubernetes、Mesos容器编制可以从Magnum自由发布版中获得。白皮书同时描绘了不久的将来,用户所期待的容器和容器管理细节,以及成熟OpenStack容器支持的持续革新。另外,白皮书还重点介绍了如何使用OpenStack Compute创建容器托管环境的方法。正如各种组织机构需要一种方案管理虚拟机和解决虚拟机蔓延问题,这对于容器来说同样是一个挑战。OpenStack是一个可行的选择,它不用另外创建单独的容器专用基础设施,仅仅使用容器,就可以在现有的架构中提供所需的额外的敏捷性。


2
Linkedln发布工具QARK
旨在检测Android应用漏洞


LinkedIn最近开源了他的静态分析工具QARK,该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。

QARK的首秀是在8月23日的DEFCON 23上,之后便很快在GitHub上公布了源代码。QARK使用PLYJ——一个分析Java源码的Python工具,还使用了Beautiful Soup来分析Android manifest(配置文件)。而且,QARK通过使用多种反编译器(包括:Procyon, JD-Core, CFR,DEX2JAR, 和APKTool)并合并他们的分析结果,还可以处理编译后的二进制文件。QARK对安全缺陷的分析范围包括:


不经意公开的组件 ;

保护不当的公开组件 ;

易被窃听或嗅探的Intent ;

不当的x.509格式的证书校验 ;

不当地创建“全局可读”或者“全局可写”文件 ;

可能泄露敏感数据的Activity组件 ;

是否正确使用Sticky Intent ;

不安全地创建Pending Intent ;

发送未经安全保护的Broadcast Intent ;

源代码中嵌入了私钥 ;

使用了弱或不当的加密解密算法 ;

使用了有潜在安全问题的WebView配置项 ;

对其他应用公开的Preference Activity ;

触屏劫持 ;

允许备份的应用 ;

允许调试模式的应用 ;

应用中使用的过时的API,其中包含了已知的缺陷 。


当QARK指出一个潜在缺陷的时候,会针对该缺陷,提供概要解释和一条详细解释的链接。它还可以创建可测试的APK文件和若干ADB命令,这些文件和命令能让你知道该缺陷会产生怎样的危害。


未来,LinkedIn打算扩展QARK,使它能够分析Bound Service和Content Provider缺陷,与Java/Android无关的缺陷,解析ODEX文件,改进自身的扩展性,动态分析等等。


当QARK可以被集成到Android工具链中,自动探测到问题和缺陷的时候,作者建议同时继续对应用进行人工审查,因为还有其他类型的缺陷是静态分析无能为力的,而且还有许多缺陷未能完全覆盖。


文章推荐


如何成为一名优秀的WEB前端开发者?

Google V8的垃圾回收引擎

DevOps是90%的改变和10%的技术

取消年度绩效考核,应该还是不应该?

成功技术领导者10条经验锤炼


投稿可勾搭:

邮箱:editors@cn.infoq.com

QQ:1073600161

版权归属InfoQ,禁止私自抄袭转载。

回复关键词React | 架构师 | 运维 | 云 | 开源 | 物联网 | Kubernetes | 架构 | 人工智能 | Kafka | Docker | Netty | CoreOS | QCon | Github | Swift | 敏捷 | 语言 | 程序员


 
InfoQ 更多文章 Facebook如何实现PB级别数据库自动化备份 学术派Google软件工程师Matt Welsh谈移动开发趋势 Spotify为什么要使用一些“无聊”的技术? 妹纸们放假了,汉纸们做啥? 大多数重构可以避免
猜您喜欢 Android Binder 全解析(三) greenplum导入数据的几种方法 【RxJava && Agera】从源码简要分析基本调用流程 如何挑选一家靠谱的培训学校? 平安金融科技移动技术周报(第十期)