作为SRE，我希望开发人员知道的5件事情！

了解如何编写应用程序和了解其下的基础架构之间是有区别的。所有优秀的设计都要考虑安全性，无论是设计抗震的房子还是创建强大的软件—良好的设计意味着优先考虑代码每个部分的安全性。

在数据库中引入DevOps方法

今天（11月2日）是PASS 2017峰会的首日，Redgate布道师Steve Jones介绍了他在数据库管理中引入DevOps的一些技巧。考虑到存储在数据库中的数据量以及数据库所担任的关键角色，对这些生产环境中的数据库成功地执行变更无疑十分关键。

SoundCloud的产品开发流程

2017年5月，SoundCloud公司的CTO Artem Fishman在内部的工程师年度聚会上，分享了SoundClou在的产品开发流程上面临的挑战和应对办法，原文可以在这里找到。

卡巴斯基推“全球透明度计划” 源代码审查证清白

作为计划的一部分，卡巴斯基实验室将开放三个透明度中心以供代码审查，分别位于美国、亚洲和欧洲，这与微软等大型专业软件公司的通常做法相似。

别再依赖安全扫描了

本文中的“安全扫描”是指开发团队在距离产品上线日期比较近的时候，通过公司里的安全团队或者外部第三方安全公司对产品进行安全扫描，团队基于安全扫描报告，对产品中存在的安全漏洞进行修复的过程。

GitHub增加了代码审查、项目管理等新功能

在旧金山举行的GitHub Universe大会上，GitHub联合创始人兼CEO ChrisWansrath宣布他们发布了一些新工具和功能，希望能在正式的代码审核和类似Kanban的项目管理方面可以改进大家的合作方式。

分布式团队中的敏捷

为了在一个分布式环境中获得更好的团队效能，并让敏捷可以很好地发挥作用，团队需要协同运转，而团队合作是核心。他们提到了三种可以确保分布式团队稳定可靠地沟通的方法：聊天通道、密友和副机长。

OpsDev将至

在不久的将来，很多公司会致力于提供集成的个性化用户体验，因此不同的数据源和服务必须被整合到一起。发布程序需要预先知道每个模块之间的依赖关系，这样可以快速的聚合每个通过持续集成、持续交付的流程的模块，将它们整合之后部署到集成环境或者生产环境。

测试企业安全，网络安全消防演习是否行得通？

而测试事件响应计划的方法之一是进行桌面事件情景演习，让所有受影响各方参加。有些企业还会利用网络战游戏；然而，这毕竟是游戏，通过游戏来测试信息安全计划并没有太多价值。

如何着手构建应用安全程序？

“这些项目通常会失败，”Meucci称，“他们失败的原因不是因为开发人员没有时间回过头去修复发现的漏洞，而是因为他们发现了太多漏洞不知道如何解决。

BYOK是否是云计算安全的关键?

服务托管的密钥可以向您的保证，其每位租户和每个订购的密钥都是管理职责和审计职责分离的，而没有管理密钥的头疼问题。

解析新致开发云如何持续实现代码review

在传统IT项目开发过程中，团队最害怕的便是在交付前的集成测试阶段突然发现bug而导致项目延迟甚至项目失败。使用SonarQube来review我们的代码，提高代码质量；使用Jenkins来实现持续集成，从而为项目开发团队提高了持续交付的能力。

中国iPhone恶意软件没那么可怕，你不主动绕过苹果的防护就没事

为绕过苹果的安装限制，爱思助手的开发者们主要耍了两个花招：版本伪装和漏洞利用。他们在App商店放了3个版本的AiSiHelper，西方用户面前看起来是良性的壁纸App，却在中国市场版本中隐藏了要求输入密码的特性。

十二大云安全威胁

在将应用和数据迁移到云端这件事上，企业不再裹足不前，但安全问题依然需要加以密切关注。下面是云安全联盟列出的2016年“十二大云安全威胁”，云服务客户和提供商都可以根据这份CSA放出的报告调整防御策略。