从DevOps到DevSecOps
|
D管道中,扩展现有的devops工具和实践。 给Pipeline增加安全罩 安全无易事!当给DevOps集成安全功能时候,最容易变得不堪重负并迷失!了解当前的工作流程和工具是给管道集成安全检查和安全控制的关键。一般来说DevOps持续集成(CI),持续交付和连续部署(CD)管道分为6阶段: 编码:开发阶段,在代码进入源代码存储库之前。 构建:构建并执行系统的基本自动化测试。 测试:成功构建后,工件将部署到临时和测试环境中。 主机运行:此阶段涉及需要应用于基础架构的配置和版本更新。 运行:如果主机运行通过,则表明应用程序已准备好部署到生产环境中,可以灰度发布和升级。 监控:持续测量和监控生产活动。 本文中,我们基于以上6个阶段进行安全集成实践和探索。 开发阶段 DevOps实践强调编写良好的代码。代码运行良好,易于更改和理解。 DevSecOps通过添加用于编写良好和安全代码的安全检查来扩展这些实践。 传统的单元测试,静态代码分析,代码审查,预提交Hooks(git 客户端钩子)等实践可以扩展到该阶段的安全性检查。为了不影响开发人员的工作效率,可以在将代码提交到源代码存储库之前查找并修复常见的安全问题。 代码审查 代码审查是提搞代码安全性的重要手段。它可以增加开发人员的责任感和透明度,降低来自内部威胁的风险(比如有人代码中投毒、隐藏后门以及逻辑炸弹等),同时代码审查也有助于提高代码质量。除了代码外一些关键配置文件比如Puppet清单,Ansible playbooks,Dockerfiles,.gitlab-ci.yml等也需要纳入代码审查的范畴。 静态分析工具 市面上有大量的静态分析,包括开源和商业工具,可以将其集成到喜欢的IDE中,帮助我们检查代码的一致性,可维护性,清晰度,错误模式等等,还可以通过添加基本的规则(工具针对该语言)来识别基本安全漏洞。
工具列表 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
