보및신뢰센터

我们的公众bug赏金该项目由HackerOne推动，允许全球网络安全研究人员和渗透测试人员对Databricks的安全漏洞进行测试。为了使项目取得成功，我们做出的一些关键决定包括:

• 通过提供HackerOne项目统计数据的透明度，例如回复率和支付金额，鼓励黑客社区积极参与我们的项目
• 及时响应bug赏金提交，平均赏金时间在一周以内
• 对每个有效提交执行变体分析，以确定漏洞可能使用的替代方式，并验证100%的修复
• 增加奖励，将注意力吸引到产品最重要的领域

我们努力使我们的项目成功，并从每次提交中学习。我们的漏洞赏金计划以开放和合作的方式进行，已经有超过100名安全研究人员因超过200份报告而受到感谢。感谢大家帮助我们保持数据库的安全!

我们希望我们的客户对他们在Databricks上运行的工作负载有信心。如果您的团队希望对Databricks运行漏洞扫描或渗透测试，我们鼓励您:

1. 在位于云服务提供商帐户内的数据平面系统上运行漏洞扫描。
2. 针对您的代码运行测试，前提是这些测试完全包含在位于您的云服务提供商帐户中的数据平面(或其他系统)中，并且正在评估您的控件。
3. 加入Databricks Bug Bounty程序访问Databricks的专用部署以执行渗透测试。任何针对我们的多租户控制平面的渗透测试都需要参与该计划。

我们需要多因素身份验证来访问核心基础设施控制台，如云服务提供商控制台(AWS、GCP和Azure)。Databricks有策略和过程，尽可能避免使用显式凭据，如密码或API密钥。例如，只有指定的安全团队成员才能处理新的AWS IAM主体或策略的异常请求。

Databricks员工可以在非常特定的情况下(例如紧急故障修复)访问生产系统。访问由databicks构建的系统进行管理，该系统验证访问并执行策略检查。访问要求员工连接到我们的VPN，并使用我们的单点登录解决方案与多因素身份验证进行身份验证。
BOB低频彩了解更多→

我们的内部安全标准要求在任何可能的情况下将职责分开。例如，我们将云身份验证提供者的身份验证和授权过程集中起来，以分离授权访问(Mary应该访问系统)和授予访问(Mary现在可以访问系统)。

无论是在内部系统中还是在对生产系统的访问中，我们都优先考虑最少的特权访问。最低特权明确地建立在我们的内部政策中，并反映在我们的程序中。例如，大多数客户可以控制Databricks员工是否有权访问他们的工作空间，在授予访问权限之前，我们通过编程应用大量检查，并在有限的时间后自动撤销访问权限。
BOB低频彩了解更多→

Databricks利用思想门户它可以跟踪功能需求，并允许客户和员工投票。我们的功能设计过程包括设计隐私和安全。在初步评估之后，高影响功能将接受产品安全团队与工程安全负责人联合进行的安全设计审查，以及威胁建模和其他特定于安全的检查。

我们使用敏捷开发方法，将新功能分解为多个sprint。Databricks不会将Databricks平台的开发外包出去，所有开发人员在受雇时和以后每年都必须接受安全的软件开发培训——bob体育客户端下载包括OWASP Top 10。生产数据和环境与开发、QA和登台环境分离。所有代码都被检入一个源代码控制系统，该系统需要单点登录、多因素身份验证和细粒度权限。代码合并需要得到每个受影响区域的功能工程所有者的批准，并且所有代码都要经过同行评审。产品安全团队手动检查对安全性敏感的代码，以消除业务逻辑错误。

砖에서는업계최고의도구를사용하여취약한패키지나코드를찾아냅니다。사전프로덕션환경에서는자동으로운영체제와설치된패키지를대상으로인증된호스트및컨테이너취약성스캔을실행하고,동적및고정코드분석스캔을병행합니다。취약성에대해서는엔지니어링티켓이자동으로생성되고，관련팀에할당됩니다。제품보안팀도중요한취약성을분류하여砖아키텍처에서심각도를평가합니다。

我们在SDLC过程的多个阶段运行质量检查(如单元测试和端到端测试)，包括代码合并时、代码合并后、发布时和生产中。我们的测试包括阳性测试、回归测试和阴性测试。部署后，我们可以进行广泛的监视以识别故障，用户可以通过状态页．如果出现任何P0或P1问题，Databricks自动化会触发一个“5个为什么”的根本原因分析方法，选择一个事后分析团队的成员来监督审查。调查结果传达给行政领导，并跟踪后续项目。

Databricks有一个正式的发布管理过程，其中包括在发布代码之前正式的放行/不放行决定。更改将通过旨在避免回归的测试，并验证新功能已经在实际工作负载上测试过。此外，有一个阶段性的推出，通过监视来尽早发现问题。为了实现职责分离，只有我们的部署管理系统可以向生产发布变更，并且所有部署都需要多人批准。

我们遵循一个不变的基础设施模型，其中系统被替换而不是打补丁，以提高可靠性和安全性，并避免配置漂移的风险。当启动新的系统映像或应用程序代码时，我们将工作负载转移到随新代码一起启动的新实例。对于控制平面和数据平面都是如此(请参阅有关Databricks体系结构的更多信息，请参见安全特性部分)．一旦代码投入生产，验证过程就会确认工件没有未经授权添加、删除或更改。

SDLC流程的最后一个阶段是创建面向客户的文档。Databricks文档的管理方式很像我们的源代码，文档存储在同一个源代码控制系统中。重要的更改在合并和发布之前需要技术和文档团队的评审。
参观文件→

砖레이크하우스아키텍처는두개의플레인으로나뉘어,권한을단순화하고데이터중복을피하며위험을완화합니다。제어플레인은관리플레인이며,砖가워크스페이스애플리케이션을실행하고노트북,구성,클러스터를관리합니다。서버리스컴퓨팅,을사용하지않는한데이터플레인은클라우드서비스제공업체계정내에서실행되어데이터를계정밖으로꺼내지않고처리합니다。砖를고객관리형VPC /联接,내보내기를비활성화하는관리자콘솔옵션등의기능을사용하여데이터유출보호아키텍처에砖를포함할수있습니다。

일부데이터(예:노트북,구성,로그,사용자정보)가제어플레인내부에존재하기는하지만,이정보는제어플레인에저장된상태에서암호화되고제어플레인과의통신시전송중에암호화됩니다。또한，특정데이터를저장할곳을선택할수있습니다。데이터테이블(蜂巢메타스토어)에대한메타데이터를저장하는자체스토어를호스팅하고,클라우드서비스제공업체계정에쿼리결과를저장하고,Databricks Secrets API를사용할지결정할수있습니다。

어떤데이터엔지니어가砖에로그인해서卡夫卡의원시데이터를정규화된데이터세트로변환하고Amazon S3, Azure数据存储등湖의스토리지로전송하는노트북을작성한다고생각해보세요。6단계:

1. 데이터엔지니어가원할경우,SSO를사용하여砖계정에서호스팅되는제어플레인의砖웹UI로매끄럽게인증합니다。
2. 데이터엔지니어가코드를작성하는동웹브라우저가제어플레으로보냅니다。Jdbc / odbc청도동일한경로를따라토큰으로합니다。
3. 준비가끝나면제어플레인은云服务提供者API를사용하여데이터플레인의새로운인스턴스로구성된砖클러스터를CSP계정에생성합니다。관리자는클러스터정책으로보프로필을적용합니다。
4. 스턴스가시작되면클러스터관리자가데이터엔지니어의코드를클러스터로보냅니다。
5. 클러스터가계정의卡夫卡로부터풀링하고,계정내데이터를변환하여계정내스토리지에작성합니다。
6. 클러스터가상태와모든결과를클러스터관리자에게보고합니다。

데이터엔지니어는이런세부적인사항은대부분걱정할필요가없고,코드와이를실행하는砖만작성하면됩니다。