首先是安全能力怎么集成进CI/CD中,插件或者CLI工具,调用外部能力去做
其次是制品生成中的安全维度
1、IAC安全:基础设施即代码的扫描,一个错误的iac可能会导致更多的部署错误
2、第三方组件成分分析
3、镜像安全
4、自动化安全测试
5、各个组件产生的风险报告怎么和运行时关联
6、运行时的安全风险
通常来说,把安全嵌入至DevOps有两种方式,一种是偏向工具或框架的安全,以安全工具内嵌的方式,还有一种是在安全的框架下,做交付生命周期的安全控制,和第一种相比,这种方式更难。因为除了技术的安全(漏洞、恶意代码)以外,绝大多数的安全风险集中在日常操作,业务流程设计,边界,流水线和监控。
总的来说,目前绝大多数领域集中在第一种,主要在下列阶段。
编码 :开发阶段,在代码进入源代码存储库之前。
构建 :构建并执行系统的基本自动化测试。
测试 :成功构建后,工件将部署到临时和测试环境中。
主机运行 :此阶段涉及需要应用于基础架构的配置和版本更新。
运行 :如果主机运行通过,则表明应用程序已准备好部署到生产环境中,可以灰度发布和升级。
监控 :持续测量和监控生产活动。