日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
保護(hù)持續(xù)集成(CI)/持續(xù)交付(CD)管道的五個(gè)優(yōu)秀實(shí)踐

譯者 | 李睿

審校 | 孫淑娟

開發(fā)人員的思維方式是理解問(wèn)題,構(gòu)建解決方案,然后找出如何將健壯且安全的解決方案部署到生產(chǎn)環(huán)境中。

不幸的是,一旦實(shí)現(xiàn),將安全優(yōu)秀實(shí)踐嵌入到解決方案中通常會(huì)操作更加復(fù)雜和成本高昂,而快速發(fā)布創(chuàng)新的壓力往往會(huì)導(dǎo)致DevOps團(tuán)隊(duì)發(fā)布安全債務(wù)。最佳Devsecops實(shí)踐是將知識(shí)、最佳實(shí)踐和安全性“左移”到開發(fā)過(guò)程中,以便敏捷開發(fā)團(tuán)隊(duì)更有可能將安全性直接融入微服務(wù)、應(yīng)用程序或數(shù)據(jù)庫(kù)中。

但是持續(xù)集成(CI)/持續(xù)交付(CD)管道呢?當(dāng)構(gòu)建、集成、打包和交付代碼到環(huán)境的人工步驟在CI/CD工具中編寫腳本時(shí),這種自動(dòng)化提高了部署的可靠性。具有強(qiáng)大CI/CD實(shí)施的Devops團(tuán)隊(duì)通常會(huì)采取下一步措施,并考慮為生產(chǎn)環(huán)境進(jìn)行持續(xù)部署,這會(huì)帶來(lái)更多風(fēng)險(xiǎn),但可以實(shí)現(xiàn)更頻繁的部署。

開發(fā)人員需要考慮以下這些建議和最佳實(shí)踐,以確保安全和強(qiáng)大的CI/CD管道。

1.在CI/CD之前建立安全開發(fā)實(shí)踐  

咨詢機(jī)構(gòu)凱捷公司敏捷和開發(fā)主管KulbirRaina分享了一個(gè)首要原則:“安全和質(zhì)量必須嵌入到代碼中,在處理CI/CD管道中的自動(dòng)化時(shí),不應(yīng)該讓質(zhì)量關(guān)卡來(lái)控制。開發(fā)人員需要在他們的集成開發(fā)環(huán)境中集成安全工具,以便正確地檢查代碼?!?/p>

Linting是一個(gè)由識(shí)別編碼風(fēng)格偏差和不安全實(shí)踐的工具執(zhí)行的過(guò)程。更復(fù)雜的靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具可以發(fā)現(xiàn)緩沖區(qū)溢出、SQL注入缺陷和其他問(wèn)題。Raina建議將SAST集成到持續(xù)集成中。

Redgate Software公司Devops倡導(dǎo)者Steve Jones表示,工具很重要,但就像任何Devops流程一樣,確保隨著時(shí)間的推移不斷學(xué)習(xí)和成長(zhǎng)。他說(shuō):“定期對(duì)開發(fā)人員進(jìn)行安全編碼實(shí)踐方面的教育,并確保他們找出簡(jiǎn)單的漏洞(例如SQL注入),這一點(diǎn)至關(guān)重要?!?/p>

Buildkite公司聯(lián)合創(chuàng)始人兼聯(lián)合首席執(zhí)行官Tim Lucas分享了其他的一些最佳實(shí)踐。他建議查看來(lái)自開源和第三方的依賴項(xiàng),以了解常見漏洞和暴露?(CVE)。Devops團(tuán)隊(duì)不要將易受攻擊的軟件投入生產(chǎn)。他建議,對(duì)供應(yīng)商軟件使用可驗(yàn)證的簽名,這樣如果供應(yīng)商受到威脅,企業(yè)的安全供應(yīng)鏈也不會(huì)受到損害。

Sonatype公司現(xiàn)場(chǎng)首席技術(shù)官lkka Turunen對(duì)此表示贊同。他建議說(shuō),“最佳實(shí)踐之一是在搜索開源軟件項(xiàng)目時(shí)具有選擇性,這就像在傳統(tǒng)制造業(yè)中一樣,并非所有部分都是平等的。尋找由敬業(yè)且負(fù)責(zé)任的開發(fā)人員維護(hù)的項(xiàng)目,不僅可以提高軟件供應(yīng)鏈的可維護(hù)性,還可以減少技術(shù)債務(wù)、返工和安全風(fēng)險(xiǎn)?!?/p>

這些建議只是在軟件開發(fā)生命周期中應(yīng)用最佳安全實(shí)踐時(shí)的冰山一角,但它們是開發(fā)安全交付管道的關(guān)鍵先決條件。

2.在CI/CD管道中構(gòu)建持續(xù)測(cè)試  

重要的是要認(rèn)識(shí)到CI/CD不僅僅是交付代碼。這也是采用左移測(cè)試并發(fā)展持續(xù)測(cè)試策略的機(jī)會(huì)。然后,將測(cè)試作為核心原則的團(tuán)隊(duì)可以在觸發(fā)CI/CD管道將版本部署到任何環(huán)境之前尋找驗(yàn)證安全性的機(jī)會(huì)。除了集成SAST安全測(cè)試之外,開發(fā)團(tuán)隊(duì)還應(yīng)關(guān)注:

  • 觸發(fā)滲透測(cè)試以發(fā)現(xiàn)后門和其他入口點(diǎn)漏洞。
  • 驗(yàn)證安全控制和測(cè)試授權(quán)。
  • 使用動(dòng)態(tài)應(yīng)用程序安全測(cè)試 (DAST)工具測(cè)試OWASP十個(gè)主要的高嚴(yán)重性問(wèn)題。

測(cè)試自動(dòng)化還應(yīng)該考慮修復(fù)常見問(wèn)題的步驟、通知正確的團(tuán)隊(duì)以及回滾過(guò)程。

3.自動(dòng)化CI/CD內(nèi)的數(shù)據(jù)安全程序  

CI/CD管道還應(yīng)該用于自動(dòng)化具有代碼和構(gòu)建依賴項(xiàng)的安全過(guò)程。需要關(guān)注的一個(gè)領(lǐng)域是數(shù)據(jù)安全,因?yàn)榘姹究赡馨ㄐ碌臄?shù)據(jù)庫(kù)、更新的數(shù)據(jù)模型或新的數(shù)據(jù)集。

一項(xiàng)經(jīng)常被忽視的功能是使用從生產(chǎn)環(huán)境中提取的數(shù)據(jù)來(lái)更新開發(fā)和測(cè)試環(huán)境。開發(fā)團(tuán)隊(duì)?wèi)?yīng)使用最近提取的數(shù)據(jù)來(lái)驗(yàn)證功能和測(cè)試體驗(yàn),并使用數(shù)據(jù)屏蔽來(lái)隱藏個(gè)人身份信息和其他符合數(shù)據(jù)合規(guī)要求的數(shù)據(jù)。

Accelario公司首席技術(shù)官兼聯(lián)合創(chuàng)始人Roman Golod建議:“數(shù)據(jù)屏蔽是CI/CD期間安全自動(dòng)化的關(guān)鍵部分。開發(fā)和測(cè)試團(tuán)隊(duì)需要真實(shí)的數(shù)據(jù)來(lái)確保一切在生產(chǎn)中都能順利運(yùn)行,但非生產(chǎn)系統(tǒng)通常不夠安全?!?/p>

其他技術(shù)包括使用合成數(shù)據(jù)和服務(wù)虛擬化。Golod補(bǔ)充說(shuō),“模擬真實(shí)事物的合成數(shù)據(jù)集將進(jìn)一步加強(qiáng)安全性,因?yàn)槿绻摂?shù)據(jù)庫(kù)遭到破壞,威脅參與者將一無(wú)所獲?!?/p>

Copado公司戰(zhàn)略服務(wù)高級(jí)副總裁Daniel Riedel為開發(fā)團(tuán)隊(duì)增加了一個(gè)關(guān)鍵起點(diǎn)。他說(shuō):“開發(fā)團(tuán)隊(duì)需要了解自己的數(shù)據(jù),特別是監(jiān)管該數(shù)據(jù)的安全和合規(guī)政策。一旦了解了這些政策,需要仔細(xì)構(gòu)建一個(gè)出色的安全自動(dòng)化框架,而該框架經(jīng)過(guò)充分測(cè)試,涵蓋了這些政策中規(guī)定的規(guī)則和控制。”

4.應(yīng)用零信任原則來(lái)保護(hù)CI/CD管道  

Devops團(tuán)隊(duì)?wèi)?yīng)該如何鎖定管道,以便只有授權(quán)的人員才能觸發(fā)它們?Redgate Software公司的Devops倡導(dǎo)者Grant Fritchey提出了一項(xiàng)建議:“在Devops管道中實(shí)現(xiàn)安全性自動(dòng)化的關(guān)鍵與始終保持良好安全性的關(guān)鍵是完全相同的:最小特權(quán)原則。如果確保只為管道提供足夠的權(quán)限,那么在管道內(nèi)部、周圍和內(nèi)部實(shí)現(xiàn)安全自動(dòng)化將很簡(jiǎn)單,并提供想要的結(jié)果。”

一些基本實(shí)踐包括隱藏API密鑰、在CI/CD工具中定義基于項(xiàng)目和角色的安全憑證,以及確保遠(yuǎn)程Devops團(tuán)隊(duì)成員的訪問(wèn)安全。

5.通過(guò)將CI/CD與AIops和安全自動(dòng)化集成來(lái)驗(yàn)證部署

一旦將代碼部署到生產(chǎn)環(huán)境,Devops團(tuán)隊(duì)的職責(zé)就不會(huì)結(jié)束。這就是對(duì)可觀察性和監(jiān)控的投資成為重要的運(yùn)營(yíng)反饋工具的地方。Devops團(tuán)隊(duì)?wèi)?yīng)與運(yùn)營(yíng)團(tuán)隊(duì)和工具合作,以響應(yīng)事件并識(shí)別技術(shù)債務(wù)何時(shí)成為運(yùn)營(yíng)或安全問(wèn)題。以下是一些細(xì)節(jié):

  • AIops工具集中運(yùn)營(yíng)數(shù)據(jù),將警報(bào)與事件相關(guān)聯(lián),并幫助圍繞性能和可靠性問(wèn)題自動(dòng)響應(yīng)事件。
  • 安全自動(dòng)化可以防止威脅和攻擊,同時(shí)啟用設(shè)置權(quán)限、修補(bǔ)系統(tǒng)和響應(yīng)安全事件的自動(dòng)化。
  • 許多CI/CD工具提供與AIops、安全自動(dòng)化和其他通用IT自動(dòng)化工具的雙向集成。作為CI/CD管道的一部分,DevOps團(tuán)隊(duì)?wèi)?yīng)觸發(fā)這些工具的通知,以通知操作和信息安全有關(guān)代碼交付的信息。它們還應(yīng)該允許IT運(yùn)營(yíng)和信息安全自動(dòng)化來(lái)觸發(fā)構(gòu)建或回滾,以支持運(yùn)營(yíng)和安全需求。

Devops工作流程顯示了從規(guī)劃到監(jiān)控部署的連續(xù)路徑,以確保團(tuán)隊(duì)可靠、安全地規(guī)劃、交付、發(fā)布和運(yùn)行系統(tǒng)。CI/CD是主要的Devops實(shí)踐之一,因此在管道之前、內(nèi)部和之后嵌入安全性是一項(xiàng)關(guān)鍵的責(zé)任。

原文標(biāo)題:??5 best practices for securing CI/CD pipelines??,作者:Isaac Sacolick


文章題目:保護(hù)持續(xù)集成(CI)/持續(xù)交付(CD)管道的五個(gè)優(yōu)秀實(shí)踐
轉(zhuǎn)載來(lái)源:http://www.5511xx.com/article/djdsodo.html