在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人，并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者，需要组建你自己的复仇者团队（或者，正义联盟，取决于你的忠诚）。

考虑到这一点，我们想把目光投向我们的一位专家，Oscar Quintas。他是我们产品内容团队的一员，作为高级安全研究员工作。他也是我们所有基础设施即代码（IaC）方面的常驻巫师。他是我们178个（而且还在不断增加！）IaC平台挑战背后的力量，也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。

我们认为他很特别，所以我们希望你能更好地了解他。在这里，他将分享他对基础设施即代码安全这一热门话题的见解，他的角色，以及组织可以做什么来更好地准备他们的云基础设施和工程师。

问：请告诉我们你在Secure Code Warrior 的角色。对你来说，典型的一天是什么样子的？

答：我是产品内容团队的一员，担任高级安全研究员。典型的一天包括审查不同语言的挑战代码（Python、Java、Golang和许多其他语言！），以确保代码质量标准得到满足，安全最佳实践得到实施。我还开发新的IaC内容。

问：你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么？

我想说的是，这是一个研究和努力工作的组合，为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始，利用这些信息，我开发了有用的挑战，以展示每个案例的安全最佳实践。

我总是试图为我们的战士提供一个良好的学习经验，并确保这是一个与工作相关的、有用的练习，并持续受益。

问：IaC安全是目前一个非常流行的话题。在云安全实践方面，公司面临的主要问题是什么？
答：基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码，你就可以部署数以百计的云资源（网络、防火墙规则、虚拟机、容器等），如果配置不当，就可能包含安全漏洞。因此，适用于安全应用部署的原则也可以适用于IaC，这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。

这种意识和行动从适当的IaC安全培训开始，并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层，当他们正在构建承载应用程序的基础设施时，这一点尤为重要。

问：业界对Kubernetes有很多兴趣，它似乎也被广泛使用。然而，我们的平台数据反映出Terraform是一种压倒性的流行语言，具有很高的参与度。你有什么见解可以分享吗？
答：Terraform是IaC事实上的语言，因为它允许我们使用简单的语法在多云环境（如AWS、GCP、Azure）中部署基础设施资源。它允许你使用代码来定义你的基础设施，并与云的API透明地互动，以管理资源的部署。

这种语言的用途非常广泛，由于它可以被添加到源控制库中，DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而，这也会带来新的威胁，必须加以解决，所以用Terraform进行安全编码的全面培训是必须的。

问：你是一名IaC安全专家。你的工作中最好的部分是什么？
答：IaC仍然处于早期阶段，所以有很多新的东西被频繁发布。要跟上这些新技术的发展，有点挑战性，但同时也很有收获。我非常喜欢学习新的东西，测试新服务的安全最佳实践。

把你的IaC安全提高到新的水平。

如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能，那就用我们的IaC Top 8来挑战自己吧阅读每一章，了解八种常见的IaC安全漏洞的全部内容，包括测试他们新知识的互动挑战。

让我们知道你的分数，并让奥斯卡感到骄傲