策略即代码 (PaC)

是什么

策略即代码是将一些策略的定义存储为一个或多个机器可读和可处理格式文件的做法。 这取代了在传统模型中，以人类可读的形式记录在单独文档中的策略。

解决的问题

构建应用和基础设施通常受到某组织所定义的许多策略的约束， 例如禁止在源代码中存储 Secret、禁止以超级用户权限运行容器或禁止将某些数据存储在特定地理区域之外的安全策略。 对于开发人员和审查人员来说，按照策略文档手动检查应用和基础设施既耗时费力又容易出错。 手动检查策略无法满足云原生应用的响应要求和扩缩要求。

如何帮助

通过使用策略即代码，可以自动检查系统属性和操作。 软件开发的最佳实践也适用于构建策略即代码，例如使用 Git 及相关工作流。