elasticphp

A. php怎么调用elasticsearch

ElasticSearch是一个基于Lucene的稳定的、分布式、RESTFul的搜索引擎。其实所谓的RestFul就是它提供URL供你调用（建立索引和进行检索），不过直接这样使用实在是太凶残了。所以，它也提供了一系列client包，相当于将curl请求封装了，client包支持的语言包括Java、PHP、Python、Ruby和Perl等等。
PHP版的client包叫做elasticsearch-php，可以在Git_hub上下载。地址如下：https://github.com/elasticsearch/elasticsearch

要使用elasticsearch-php有如下三个要求：
1.PHP的版本在5.3.9以上，我用的是PHP5.3.23
2.在项目中使用Composor来管理包，下载地址如下：https://getcomposer.org/
3.在php.ini中开启curl和openssl
要使用elasticsearch，需要JDK的版本大于6，最好选择8吧，因为7有漏洞....
截一张需要的包图：

启动elasticsearch很简单，直接进入解压目录，运行elasticsearch.bat就可以了，看到最后console输出start，就启动成功了。

接下来介绍如何使用elasticsearch-php：

1.新建一个文件夹取名为test，此为项目文件夹
2.在里面放入一个命名为composer.json的文件，文件内容为：

{
"require":{
"elasticsearch/elasticsearch" : "~1.2"
}
}
3.将composer.phar拷贝到test文件夹中，cd 到test文件夹，输入命令：php composer.phar install --no-dev 等待安装成功

这个时候test文件夹下面应该会出现vendor文件夹，里面有elasticsearch、composer、guzzle等文件夹，很多内容
4.这个时候，就可以使用elasticsearch进行建立索引和进行检索了

<?php
require_once('vendor/autoload.php');
function get_conn(){
$host = 'ip';
$dbname = 'dbname';
$user = 'user';
$passwd = 'passwd';

$conn = new PDO("pgsql:dbname=$dbname;host=$host",$user,$passwd);
return $conn;
}

function create_index(){
//Elastic search php client
$client = new Elasticsearch\Client();
$sql = "SELECT * FROM log";
$conn = get_conn();
$stmt = $conn->query($sql);
$rtn = $stmt->fetchAll();

//delete index which already created
$params = array();
$params['index'] = 'log_index';
$client->indices()->delete($params);

//create index on log_date,src_ip,dest_ip
$rtnCount = count($rtn);
for($i=0;$i<$rtnCount;$i++){
$params = array();
$params['body'] = array(
'log_date' => $rtn[$i]['log_date'],
'src_ip' => $rtn[$i]['src_ip'],
'dest_ip' => $rtn[$i]['dest_ip']
);
$params['index'] = 'log_index';
$params['type'] = 'log_type';

//Document will be indexed to log_index/log_type/autogenerate_id
$client->index($params);
}
echo 'create index done!';
}

function search(){
//Elastic search php client
$client = new Elasticsearch\Client();
$params = array();
$params['index'] = 'log_index';
$params['type'] = 'log_type';
$params['body']['query']['match']['src_ip'] = '1.122.33.141';

$rtn = $client->search($params);
var_mp($rtn);
}

set_time_limit(0);
//create_index();
search();
?>

B. ECS阿里云服务器支持PHPJAVA，那我想问的是，为什么ECS能支持这两个语言开发而Tomcat\Apache只支持一种

用阿里页面上的一句话：云服务器（Elastic Compute Service 简称ECS）是一种简单高效，处理能力可弹性伸缩的计算服务。
ECS你可以当作是你在商城里租（之所以是租，你想想就能明白的）了一台电脑，那不属于你，交租子你就可以随便使用，系统也可以随便装。
然后不管是你想在这个系统上运行PHP还是Java，甚至是打游戏，都由你自己决定的。
而Tomcat/Apache是服务，运行在系统（ECS）中的软件，它们是没有可比性的。

C. 云OS的产品

一般来讲，国内外大的网站，比如Google、网易、腾讯等，都有该类产品，但由于该系统是各自的核心竞争力，都是自产自用，并对外发售。比如市面上的两家厂商，一是VMware的vSphere，该产品是虚拟化技术衍生出来的，管理的设备数量有限；二是浪潮的云海，浪潮云海是第一款国产的云计算中心操作系统，采用“linux+Xen”开放标准技术路线，支持分布式计算、分布式存储等，性能更好、可用性更强、成本更低，但是要到2010年底才能发布。两者的不同处在于：浪潮云海OS是一个产品化、模块化的通用云操作系统，适合于各种类型的云计算应用；VMware的产品更多是针对虚拟化整合，面向私有云等小规模云应用；
Vmware与浪潮云OS的具体区别为：
1、共享存储与分布式云存储：VMware云操作系统依赖于共享存储，一旦共享存储宕机，将导致所有虚拟机业务的崩溃；浪潮云海云操作系统构建了块设备的云存储，安全性更高。
2、大规模管理架构；浪潮云海OS采用多级联管理体系，可以通过级联方式实现资源的整合管理，可以有效实现万量级的资源管理。管理能力更强，适用性更好；VMwareOS管理规模较小。
3、资源调度与节能管理：浪潮云海OS可有效实现大规模基础软硬件资源监控，可以完成长期的业务负载和资源情况的统计分析，可以依据负载情况实现业务、资源的动态调度，在满足客户需求情况下，有效提高资源利用率。同时，对夜间、节假日时的闲置资源，可自动转入节能模式，符合绿色、低碳的数据中心运营需求。
4、业务管理：VMware云OS侧重于硬件资源的管理，包括计算、存储和网络；浪潮云OS，即可以管理硬件资源，还可以管理软件资源，包括单机OS、数据库、中间件等。 云服务器（Elastic Compute Service, 简称ECS）是一种处理能力可弹性伸缩的计算服务，其管理方式比物理服务器更简单高效。云服务器帮助您快速构建更稳定、安全的应用，降低开发运维的难度和整体IT成本，使您能够更专注于核心业务创新。比如，阿里云服务就是做的比较完善的生态系统。 负载均衡 SLB 负载均衡（Server Load Balancer，简称SLB）是对多台云服务器进行流量分发的负载均衡服务。SLB可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 关系型数据库服务 RDS 提供安全稳定云数据库服务！
关系型数据库服务（Relational Database Service，简称RDS）是一种稳定可靠、可弹性伸缩的在线数据库服务。RDS采用即开即用方式，兼容MySQL、SQL Server两种关系型数据库，并提供数据库在线扩容、备份回滚、性能监测及分析功能。RDS与云服务器搭配使用I/O性能倍增，内网互通避免网络瓶颈。 开放存储服务 OSS 开放存储服务（OpenStorageService，简称OSS），是阿里云对外提供的海量，安全，低成本，高可靠的云存储服务。用户可以通过简单的API（REST方式的接口），在任何时间、任何地点、任何互联网设备上进行数据上传和下载。 开放数据处理服务 ODPS 开放数据处理服务（Open Data Processing Service，简称ODPS）提供云端数据仓库服务。适用于金融、零售、制造业和电商企业的BI团队进行海量数据分析和挖掘。 开放结构化数据服务 OTS 开放结构化数据服务（Open Table Service，简称OTS）是一种支持海量结构化和半结构化数据存储与实时查询的服务。 内容分发网络 CDN 内容分发网络（Content Delivery Network，简称CDN）将加速内容分发至离用户最近的节点，缩短用户查看对象的延迟，提高用户访问网站的响应速度与网站的可用性。 开放缓存服务 OCS 开放缓存服务（Open Cache Service，简称OCS）为在线缓存服务，实现热点数据的快速响应及数据的持久化保存；支持Key-Value的数据结构，兼容Memcached协议。 云引擎 ACE 云引擎（Aliyun Cloud Engine，简称ACE）是一个基于云计算基础架构的网络应用程序托管环境，帮助应用开发者简化网络应用程序的构建和维护，并可根据应用访问量和数据存储的增长进行扩展。 ACE支持PHP,NODE.JS语言编写的应用程序；支持在线创建MYSQL远程数据库应用。 安全与监控 云盾
云盾为客户提供基于云端的DDoS防御、入侵防御及网站的应用安全监测等全方位的安全防御服务。 云监控 云监控高效全面的监控云服务器和站点，帮助用户时刻掌握云服务运行状态。
负载均衡
负载均衡（Software Load Balancing，简称SLB）通过设置虚拟IP，将位于同一数据中心的多台云服务器资源虚拟成一个高性能、高可用的应用服务池，再根据应用特性，将来自客户端的网络请求分发到云服务器池中。SLB 会检查池中云服务器的健康状态，自动隔离异常状态云服务器。同时，SLB 还可以增强云服务器池的抗攻击能力、安全隔离应用和云服务器。云服务器无须特殊设置即可透明接入SLB。
云盾
为云服务器提供一站式安全增值服务，包括安全体检（网页漏洞检测、网页挂马检测）、安全管家（防DDOS 服务、端口安全检测、网站后门检测、异地登录提醒、主机密码暴力破解防御）等功能。
云监控
为云服务器提供第三方监控服务，可以及时发现故障并通过多种方式告警，包括网站、Ping、TCP端口、UDP端口、DNS、POP3、SMTP、FTP等监控。云监控除了可以为ECS 提供安全有效的监控服务外，还能够为其他自由服务器提供监控服务，用户只需要通过简单的配置即可实现各种监控需求。 开放存储服务（OSS）是阿里云对外提供的海量、安全、低成本和高可靠的云存储服务。OSS 支持海量的文
件储存，同时在多个地方调用呈现，极大地简化了用户数据管理、迁移和更新的工作。
用户可以通过简单的RESTful 接口，在任何时间、任何地点、任何互联网设备上进行上传和下载数据，也可以使用Web 页面对数据进行管理。OSS 已经在多个云存储服务、电子商务网站和手机应用网站中使用，提供包括图片、软件和音视频文件在内的存储和互联网访问服务。
海量
用户可以存储和管理多达上千亿个数据对象(data object，可以是任何内容的文件，如数据记录，图片，流媒体文件等)，每个数据对象大小可达20GB。OSS还能通过对象组合的方法构建最大5TB的单一对象。
安全
OSS使用加密对来保证用户数据被安全访问，对于指定为私有的数据，只有使用加密对才能访问。用户可以随时设定自己的数据访问权限。
高可用、高可靠
OSS拥有数据自动冗余、故障自动恢复的能力。OSS向用户承诺服务全年可用性99.9%，数据可靠性大于十个9。
多功能
OSS支持类似传统文件系统的目录结构，便于用户组织数据。存储在OSS的每个数据对象都拥有唯一的URL，便于用户在网页或移动应用上展示。OSS提供了PHP，Python，Java等多种语言的SDK。
低成本
用户按照每天实际的资源使用付费，无需为高速增长的业务提前付出费用。 开放结构化数据服务（Open Table Service，简称OTS）是构建在飞天内核之上的海量结构化和半结构化数据存储与实时访问的服务。
OTS以数据表的形式组织数据，保证强一致性，提供跨表的事务支持，并提供视图和分页的功能来加速查询。用户可以通过RESTful API来使用服务，也可使用Web 页面对数据进行管理。同时，OTS 提供多语言SDK以简化用户的编程。OTS适用于数据规模大且实时性要求高的应用。
数据安全可靠
OTS 服务运行在飞天内核之上，所有数据都有3 份备份；OTS 服务会自动处理集群中的硬件和软件错误，对用户屏蔽这些错误；用户的数据在存储层完全隔离，并且用户对数据的访问必须通过身份验证。
可扩展性
OTS 支持超过百TB 数量级的数据，通过对表进行横向切分（partitioning）来实现规模的扩展；数据分片均匀地散落到多个存储节点上，并且数据分区在增长之后会自动分裂以达到分区的动态平衡。因此，可以通过增加机器和调整调度实现服务整体规模的扩展。
灵活的数据模型
表包含任意多行的数据，每一行可以包含任意多个列，不需要在创建表的时候指定schema，支持视图和表组等高级功能。
简单高效的API
支持单行与多行的读写操作，支持事务操作。单行读写操作的延迟在10 毫秒级别。
全托管式服务
OTS服务会根据用户的数据规模和QPS 需求进行合理的调度和调优，用户无须关心数据库的管理、调优和容错处理。这样，用户可以专注在应用层逻辑，通过OTS 节省成本。此外，OTS 还向用户提供详细的资源使用统计、性能指标和操作日志，方便用户调查错误和分析应用的行为。 关系型数据库服务（RDS）提供了即时接入、弹性伸缩，可用而且可靠的数据库服务，帮助用户把基于传统关系型数据库的各类应用搬到云上。
RDS通过Web方式为用户提供可以在几分钟内生成并投入生产的、经过优化的数据库实例，支持MySQL和微软SQL Server这两种关系型数据库，适合于各行业中小企业的关系型数据库应用。
安全稳定
RDS 集群处于多层防火墙的保护之下，可以有力地抗击各种恶意攻击，保证数据的安全。允许您设置访问白名单，免除安全隐患。
数据可靠
RDS 采用主从热备的集群架构方式，当出现硬件故障时，30 秒内完成自动切换。建议您的应用程序支持数据库连接自动重连。
自动备份
RDS 根据您自定义的备份策略自动备份您的数据库。防止数据丢失和误删除，保证您的数据安全可靠。
管理透明
您无需维护数据库，只需根据自己的需要选择相应的RDS 实例，部署简单快速。大大节省用户的硬件成本和维护成本。

D. 阿里云ecs怎么配置php环境

云服务器Elastic Compute Service（ECS）是阿里云提供的一种基础云计算服务。
使用云服务器ECS就像使用水、电、煤气等资源一样便捷、高效。您无需提前采购硬件设备，而是根据业务需要，随时创建所需数量的云服务器ECS实例。在使用过程中，随着业务的扩展，您可以随时扩容磁盘、增加带宽。如果不再需要云服务器，也能随时释放资源，节省费用。
ECS涉及的所有资源，包括实例规格、块存储、镜像、快照、带宽和安全组。您可以通过 云服务器管理控制台或者 阿里云 App 配置您的ECS资源。
云服务器ecs都有哪些作用呢？

1、完全管理权限：
对云服务器的操作系统有完全控制权，用户可以通过连接管理终端自助解决系统问题，进行各项操作；
2、快照备份与恢复：
对云服务器的磁盘数据生成快照，用户可使用快照回滚、恢复以往磁盘数据，加强数据安全；
3、自定义镜像：
对已安装应用软件包的云服务器，支持自定义镜像、数据盘快照批量创建服务器，简化用户管理部署；
4、拥有API接口：
使用ECS API调用管理，通过安全组功能对一台或多台云服务器进行访问设置，使开发使用更加方便。

E. 安全开发你必须使用的28个DevSecOps工具

将安全融入开发过程，更早捕获并修复应用漏洞，你需要这五类共28款DevSecOps工具。

DevSecOps 是将安全集成到整个应用开发周期的过程，是从内到外强化应用，使其能够抵御各种潜在威胁的理想方式。因为很多公司企业不断开发应用以满足客户和商业合作伙伴的需求，DevSecOps的吸引力也与日俱增。

敏捷开发方法与DevOps操作帮助公司企业达成持续开发的目标。云原生应用架构也成芹尺为了DevSecOps运动的有力贡献者，推动采用公共云提供商、容器技术和容器平台为应用提供计算能力。DevSecOps将安全过程与工具集成进工作流并加以自动化，摆脱了传统方法按时间点进行的潜在干扰，是个无缝且持续的过程。

咨询公司 Data Bridge Market Research 称，鉴于网络安全威胁数量与危害性的持续上升，全球DevSecOps市场预计将从2018年的14.7亿美元增长至2026年的136.3亿美元。

市场繁荣之下，DevSecOps工具必将呈现百花齐放百家争鸣的局面。下面就按核心门类为您呈上多款优秀DevSecOps工具。

开发应用的时候很容易忽略掉安全漏洞。下面的工具为开发人员提供了潜在安全异常及缺陷的警报功能，可供开发人员及时调查并修复这些漏洞，不至于走得太远回不了头。有些工具专用于警报功能，比如开源的Alerta 。其他工具则兼具测试等别的功能，比如 Contrast Assess。

1. Alerta

(https://alerta.io/)

该开源工具可将多个来源的信息整合去重，提供快速可视化功能。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监视/管理服务集成，开发人员可通过API按需定制Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作为一款互动应用安全测试(IAST)工具，Contrast Assess 与用户应用集成，在后台持续监视代码，并在发现安全漏洞时发出警报。据称即便是非安全开发人员也可使用 Contrast Assess 自行识别并修复漏洞。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

该运行时应用自保护(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生产环境中查找漏洞利用程序和未知威胁，并将结果提交给安全信息及事件管理(SIEM)控制台、防火墙或其他安全工具。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert提供近实时接收警报的框架，可接收来自Elasticsearch数据的安全异常、流量激增及其他模式。ElastAlert查询Elasticsearch并根据一系列规则比较这些数据。一旦出现匹配，ElastAlert便发出警报并随附建议动作。

大多数DevSecOps工具都提供一定程度的自动化。此类工具自动扫描、发现并修复安全缺陷，只是搜首饥自动化程度各有不同，从条件式事件驱动的自动化到运用深度学习技术的自动化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨世返在通过深度学习技术自动查找并修复源代码中的安全漏洞，号称可为开发人员提供可供参考的解决方案列表，而不仅仅是安全问题列表。其供应商QbitLogic宣称，已为CodeAI馈送了数百万个现实世界漏洞修复样本供训练。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包括应用开发安全测试在内的多种自动化工具：

1）Parasoft C/C++test

(https://www.parasoft.com/procts/ctest)

用于开发过程早期缺陷识别；

2）Parasoft Insure++

(https://www.parasoft.com/procts/insure)

可以查找不规范编程及内存访问错误；

3）Parasoft Jtest

(https://www.parasoft.com/procts/jtest)

用于Java软件开发测试；

4) Parasoft dotTEST

(https://www.parasoft.com/procts/jtest)

以深度静态分析和高级覆盖作为 Visual Studio 工具的补充。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

该工具包含三个模块——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作为无代理IT自动化技术单独或联合使用。尽管不是专门的安全工具，Ansible Automation 却可供用户定义规则以确定自身软件开发项目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com)

该开源工具号称“可进行条件式运营”，其事件驱动的自动化能在检测到安全漏洞时提供脚本化的修复与响应，并附有持续部署、ChatOps优化等功能。

5. Veracode

(https://www.veracode.com/devsecops)

该公司提供DevSecOps环境中广泛使用的一系列自动化安全工具，包括在代码编写时即时自动扫描的Greenlight；在沙箱中扫描代码漏洞的 Developer Sandbox；识别漏洞组件的 Software Composition Analysis (SCA)；以及识别应用缺陷的 Static Analysis。

专用DevSecOps仪表板工具可使用户在同一图形界面中查看并共享从开发伊始到运营过程中的安全信息。有些DevSecOps应用，比如ThreatModeler和Parasoft已自带仪表板。

1. Grafana

(https://grafana.com/)

该开源分析平台允许用户创建自定义仪表板，聚合所有相关数据以可视化及查询安全数据。如果不想自行构建，还可以在其网站上选用社区构建的仪表板。

2. Kibana

(https://www.elastic.co/procts/kibana)

如果你使用Elasticsearch，该开源工具可在统一图形界面中集成成千上万的日志条目，包括运营数据、时间序列分析、应用监视等等。

威胁建模DevSecOps工具用以在复杂的攻击界面中识别、预测并定义威胁，以便用户可以做出主动安全决策。有些工具可根据用户提供的系统及应用信息自动构建威胁模型，并提供可视化界面以帮助安全及非安全人员 探索 威胁及其潜在影响。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的解决方案，既可云部署，也可现场部署，能以基于问卷的界面自动化风险及需求分析，并设计出威胁模型和技术性安全要求。IriusRisk还可帮助用户管理代码构建及安全测试阶段。

2. ThreatModeler

(https://threatmodeler.com/)

该自动化威胁建模系统有两个版本：AppSec版和云版。在提供了用户应用或系统的功能性信息后，ThreatModeler会基于更新的威胁情报自动就整个攻击界面进行数据分析和潜在威胁识别。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基于Web的开源工具，提供系统图解和用于自动化威胁建模与缓解的规则引擎。Threat Dragon 承诺可与其他软件开发生命周期(SDLC)工具无缝集成，且界面易于使用。

在开发过程中测试应用以找出潜在漏洞是DevSecOps的关键部分，能够事先发现安全漏洞，避免漏洞被黑客利用。尽管其他工具往往包含了测试功能，比如Parasoft出品的那些，下列工具仍然在应用安全测试上表现强劲。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

该出自 Continuum Security 的开源框架可使安全人员在敏捷开发过程中测试行为驱动开发(BDD)语言编写的功能及非功能性安全场景。此BDD框架旨在使安全功能独立于应用特定的导航逻辑，让同样的安全要求能够更容易地应用到多个应用程序上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/procts/static-application-security-testing/)

可对25种编程及脚本语言进行未编译/未构建源代码扫描的静态应用安全测试(SAST)工具，能在SDLC早期发现成百上千种安全漏洞。CxSAST兼容所有集成开发环境(IDE)，是Checkmarx软件暴露平台的一部分——该平台可在DevOps所有阶段植入安全。Checkmarx的交互式应用安全测试(IAST)工具可检测运行中应用的安全漏洞。

3. Chef InSpec

(https://github.com/inspec/inspec)

整个开发过程中的每一阶段都可以运用该开源工具自动化安全测试以确保针对传统服务器及容器和云API的合规、安全及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端应用安全，可供进行覆盖整个软件开发生命周期的现场及按需测试。Fortify on Demand 是 Micro Focus 的应用安全即服务产品，提供静态、动态和移动应用安全测试，以及生产环境中Web应用的持续监视。

5. Gauntlt

(http://gauntlt.org/)

流行测试框架，旨在推动易操作的安全测试及安全、开发和运营团队间的沟通。GauntIt便于产生攻击测试用例，且能方便地钩入现有工具及进程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多个应用安全测试工具，包括：

1）SAST工具Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自动化测试且融入持续集成/持续交付(CI/CD)管道；

2）SCA工具 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

采用容器及应用中的开源和第三方代码检测并管理安全；

3）SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

识别可暴露敏感数据的运行时安全漏洞；

以及一系列用于应用安全测试的托管服务。

以下DevSecOps工具同样含有上述工具提供的功能，但或多或少略有不同。

1. Aqua Security

(https://www.aquasec.com/)

在整个CI/CD管道和运行时环境中管理端到端安全，可用于所有平台和云环境的容器及云原生应用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收购，提供自动化测试及安全实施，使开发人员能够将安全及合规融入公共云应用的构建、部署及运营。

3. GitLab

(https://about.gitlab.com/)

该工具可将DevSecOps架构融入CI/CD过程，在提交时测试每一块代码，使开发人员能够在编程期间缓解安全漏洞，并提供涵盖所有漏洞的仪表板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

为基于容器的应用提供内置安全，比如基于角色的访问控制、以安全增强的Linux(SELinux)实现隔离，以及贯穿整个容器构建过程的核查。

5. RedLock

(https://www.paloaltonetworks.com/procts/secure-the-cloud/redlock/cloud-security-governance)(前身为Evident.io)

Palo Alto Networks 出品，适用于部署阶段，帮助开发人员快速发现并缓解资源配置、网络架构及用户活动中的安全威胁，尤其是在亚马逊S3存储桶和弹性块存储(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自 Security Compass 的自动化平台，旨在收集客户软件信息，发现威胁及对策，突出相关安全控制措施以帮助公司企业实现其安全和合规目标。

7. WhiteHat Sentinel 应用安全平台

(https://www.whitehatsec.com/procts/solutions/devsecops/)

该解决方案提供贯穿整个SDLC的应用安全，适用于需将安全集成进工具中的敏捷开发团队，以及需持续测试以保证生产环境应用安全的安全团队。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用于解决开源漏洞，可集成进用户的生成过程，无论用户采用什么编程语言、生成工具或开发环境。WhiteSource使用经常更新的开源代码数据库持续检查开源组件的安全及授权。

F. 编程语言有多少种

不下200种 可以在维基网络搜索List_of_programming_languages
网络贴不了wiki的地址，大概是垄断吧

A+BAT
A+
A++
A# .NET
A# (Axiom)
A-0
ABAP
ABC
ABC ALGOL
ABLE
ABSET
ABSYS
ACC
Accent
ActionScript
Ace DASL
ACT-III
Ada
APL
AWK

B
BACI
Baja
BASIC
bc
bcompile
BCPL
BeanShell
BETA
Bigwig
Big Snake
Bistro
BLISS
Blitz Basic
Block And List Manipulation (BALM)
Blue - Rejected prototype for Ada
Blue
Boo
Bourne shell - a.k.a sh
Bourne-Again shell - see Bash
Boxx
BPEL - Business Process Execution Language
Brainfuck
BUGSYS
BuildProfessional
BYOND

C
C--
C-script
C++ - ISO/IEC 14882
C# - ISO/IEC 23270
C shell (csh)
Caché ObjectScript - See also Caché Basic
Caml
Cat
Cayenne
C-BOT
Cecil
Cesil
Cg
Ch interpreter (C/C++ interpreter Ch)
Chapel
CHAIN
Charity
Chef
Chey
CHILL
CHIP-8
chomski
Chrome
ChucK
Cilk
CICS
CL
Clarion
Clean
Clipper
CLIST - Programming language for online applications in the MVS TSO environment
CLU
CMS-2
COBOL - ISO/IEC 1989
CobolScript
Cobra
CODE
ColdFusion
COMAL
Common Intermediate Language (CIL)
Common Lisp
Component Pascal
COMIT - List or string processing language
Concurrent Clean
Constraint Handling Rules
CORAL66
Corn
CorVision
COWSEL
CPL
CSP
Csound
Cue
Curl
Curry
Cyclone

D
Dao
DASL - Distributed Application Specification Language
DASL - Datapoint's Advanced Systems Language
DarkBASIC
DarkBASIC Professional
Dataflex
Datalog
dBASE
dc
Deesel (formerly G)
Delphi
Dialect
DinkC
DCL
Dialog Manager
DIBOL
DL/I
Dream Maker
Dylan
Dynace

E
Ease
EASY
Easy PL/I
EASYTRIEVE PLUS
eC (Ecere C)
ECMAScript
eDeveloper
Edinburgh IMP
Einstein
Eiffel
Elan
elastiC
Elf
Emacs Lisp
EGL Programming Language (EGL)
Epigram
Erlang
Escapade - server-side programming
Esterel
Euclid
Euphoria
Euler
EXEC
EXEC2

F
F#
Factor
Fan
Felix
Ferite
F#
FL
FLOW-MATIC
FOCAL
FOCUS
FOIL
FORMAC
Formula language
Forth
Fortran - ISO/IEC 1539
Fortress
FoxPro
FP
Frag Script
Franz Lisp
Frink
Frontier
F-Script

Gambas
G-code
General Algebraic Modeling System
Generic Java
Gibiane
G (LabVIEW)
Gödel
Godiva
GOTRAN (see IBM 1620)
GOTO++
GPSS
GraphTalk
GRASS
Green
Groovy

H - Business processing language from NCR.
HAL/S - Real-time aerospace programming language
HAScript
Haskell - An advanced functional programming language
HaXe - Open Source language which can compile to four different platforms, including PHP and Flash
HyperTalk

IBM Basic assembly language
IBM RPG
ICI
Icon
IDL
IMP
Inform
Information Processing Language (IPL)
Informix-4GL
Io
IPTSCRAE
Interactive System Proctivity Facility

J
J#
J++
JADE
JAG
Jal
Janus
Java
JavaScript
Jim++
JCL
Join Java
JOSS
Joule
JOVIAL
Joy
JScript
JSP
J2EE
J2ME

K
KEE
Kiev
Korn Shell
KIF
Kite
Kogut
KRC
KRL
KRYPTON

L
LabVIEW
Lagoona
LANSA
Lasso
Lava
Leda
Lead
Leadwerks Script
Legoscript
Leopard
Lexico
Lfyre
Liberty BASIC
Limbo
Limnor
LINC
Lingo
Lisaac
Lisp - ISO/IEC 13816
Lite-C
Logo
LOLCODE
LPC
LSL
LSE
Lua
Lucid
Lush
Lustre
LYaPAS
LSL

M4
MAD
MADCAP
MAGIC - See eDeveloper
Magik
Magma
MapBasic
Maple
MAPPER (Unisys/Sperry) now part of BIS
M-A-R-E-K (Programming language)
MARK-IV (Sterling/Informatics) now VISION:BUILDER of CA
Mary
Mathematica
MATLAB
MATA
Maxima (see also Macsyma)
MaxScript internal language 3D Studio Max
Maya (MEL)
Multiprocessor C#
Mercury
Mesa
METAL
Michigan Algorithm Decoder see MAD programming language
Microcode
MicroScript
MillScript
MIMIC
Mindscript
Miranda
Miva
ML
Moby
MODCAP
Model 204 User Language
Mola
Mola-2
Mola-3
Mondrian
Mortran
Moto
MOUSE
MSIL - Deprecated name for Common Intermediate Language
MSL
MONO
MUMPS

Napier88
Natural
Nemerle
NESL
Net.Data
Neuralware
NewtonScript
NGL
Nial
NXT-G
Nice
Nickle
Nosica
NQC
Nu

o:XML
Oberon
Objective Mola-2
Object Lisp
ObjectLOGO
Object Pascal
Objective-C
Objective Caml
Obliq
Objectstar
ObjectView
Ocaml
occam
occam-π
Octave
OmniMark
Opal
Open programming language
OPS5
Organiser Programming Language (OPL) - cf. Psion Organiser
Oxygene
Oz

PARI/GP
Parser
Pascal - ISO 7185
Pawn
PBASIC
PCASTL
PEARL
Perl
Perl Data Language
PHP
Pico
Piet
Pike
PIKT
PILOT
Pizza
PL 11
PL/0
PL/8
PL/B
PL/C
PL/I - ISO 6160
PL/M
PL/P
PL/SQL
Plankalkül
PLD
PLEX
PLEXIL
Pliant
PNGlish
PPL
POP-11
Poplog
PORTRAN
PostScript
Ppc++
Processing
Prograph
Progress 4GL
Prolog
Turbo Prolog
Promela
Protheus
PRO-IV
Python

Q
Qi
QtScript
QuakeC
QPL
Quikcomp (for the Moonrobot XI)

R
R++ - Based on C++ and added semanteme description
Rascal
Ratfiv
Ratfor
RBScript
rc
REPL - Really Easy Programming Language
REBOL - Relative Expression Based Object Language
Red - Rejected prototype for Ada
Redcode
REDO
REFAL
Revolution
REXX
Rigal
Rlab
Robot Scripting Language (RSL)
RPG - Report Program Generator
RPL
RScript
Ruby
Russell Programming Language
REALBasic

S
S2
S-PLUS
S-Lang
SAIL
SAKO
SAM76
SAS
Sather
Scala
ScalPL
SCAR
SCATRAN
Scheme
Scilab
Script.NET
Sed
Seed7
Self
SETL
Shadow Programming Interface (Developing)
ShadowScript
Shift Script
SIGNAL
SiMPLE
SIMPOL
SIMSCRIPT
Simula
SISAL
Slate
SLIP
SMALL - SMALL Machine Algol Like Language
Small
Smalltalk
SNOBOL - String Oriented Symbolic Language
SPITBOL
Snowball
SPARK
Spice
SPIN
SP/k
SPL/1 - aka SPL/I
SPS (1620) - see IBM 1620
Squirrel
SR
SSL
Standard ML
StringLang
Subtext
SuperCollider
Suneido
SYMPL
SyncCharts
Synergy/DE
SystemVerilog

T
TACL
TACPOL
TagsMe
TADS
TIE
Transaction Application Language
Tcl
Transact-SQL
teco
TELCOMP
Telon
Tempo
thinBasic
Titanium
TI-Basic
Today
Tom
TOM
Topspeed - see Clarion
TorqueScript
tpu
Trac
Trine
TTCN
Turbo Pascal
Turing
TUTOR\
Tutorial D
TXL

Ubercode
Ultra 32
Unicon
Uniface
Unix shell
Unlambda
UnrealScript
Use

V
Vala
VDM++
VDM-SL
Verilog
VHDL
Visual Assembler
Visual Basic - Visual Beginners All-purpose Symbolic Instruction Code
Visual Basic .NET
Visual DataFlex
Visual DialogScript
Visual FoxPro
Visual J++
Visual Objects
VBScript
VX-REXX
Vvvv

Water
WATFOR - see WATFIV
WATFIV
WAXHTML
WebQL
Whitespace
Winbatch
WinDev
Windows PowerShell

X++
X10
Xbase++ 32Bit Windows language
XBL
xbScript - Also xBaseScript
xHarbour
XL
XOTcl
XPL
XPL0
XQuery
XSLT - See XPath

Y
YACC
YAFL
Yellow - Rejected prototype for Ada
Yorick
Y

Z++
Z notation - A program specification language, like UML.
Zonnon
ZOPL
ZPL