CI/CD的安全隐患和面临的威胁,如何做好DevOps流程中的安全?
收起通常来说,把安全嵌入至DevOps有两种方式,一种是偏向工具或框架的安全,以安全工具内嵌的方式,还有一种是在安全的框架下,做交付生命周期的安全控制,和第一种相比,这种方式更难。因为除了技术的安全(漏洞、恶意代码)以外,绝大多数的安全风险集中在日常操作,业务流程设计,边界,流水线和监控。
总的来说,目前绝大多数领域集中在第一种,主要在下列阶段。
编码 :开发阶段,在代码进入源代码存储库之前。
构建 :构建并执行系统的基本自动化测试。
测试 :成功构建后,工件将部署到临时和测试环境中。
主机运行 :此阶段涉及需要应用于基础架构的配置和版本更新。
运行 :如果主机运行通过,则表明应用程序已准备好部署到生产环境中,可以灰度发布和升级。
监控 :持续测量和监控生产活动。