使用 DevSecOps 保护 CI / CD 管道
持续集成和持续交付(CI / CD)可以为软件开发和部署过程提供端到端的无缝集成。 通过这样做,CI / CD 使开发人员可以将更多的时间用于开发代码以改善软件功能,而不必担心部署。
但是,开发人员仍然面临许多安全挑战。 CI / CD 可以加快此过程,但不会加快安全性。 但是,借助 DevSecOps 就有可能加快软件内部安全性的交付。 DevSecOps 工程师尝试将大多数安全控件作为软件的一部分进行运营,方法是将其引入设计约束中,然后由 CI / CD 管道对其进行检查,而不会损害控件的完整性。
为什么选择 DevSecOps?
随着数字化转型的增加,迫切需要安全可靠的软件,否则,从架构到交付的一切都将面临风险。安全漏洞现在是对公司和产品的最大威胁之一。
DevSecOps 促进了开发团队和安全团队之间的协作,因此产品避免了向安全团队的后期移交。通过在流程开始时引入安全性,就会增强产品的价值和质量。 实际上,如果没有 DevSecOps,该软件可能会在最后一刻被认为是不安全的,从而导致多次代价高昂的迭代。借助 DevSecOps,可以直接在管道中实施安全标准,从而使产品从一开始就更加安全。
总体而言,DevSecOps 确保了产品的市场的信誉和敏捷性,并获得了消费者的信任。
CI / CD 中的 DevSecOps
开源软件中可能存在许多安全漏洞。 因此,在 CI / CD 中实施 DevSecOps 实践将确保软件交付安全的连续性。
将自动化安全检查集成到管道中将使开发人员能够对漏洞进行预警,并监视任何安全缺陷或其他缺陷。 通过集成的连续安全性方法,公司可以在扩展安全性和开发流程的同时进行扩展。
此外,单元测试和静态代码分析在接近源代码的情况下运行,并且无需执行代码即可进行运行检查。 因此,投资安全性单元测试和静态分析器很有好处,因为它可以加快生命周期,同时快速检测到任何漏洞。
DevSecOps 和 CI / CD 管道的未来
面对当今世界带来的众多挑战,安全性对于保持市场领先地位至关重要。 借助 DevSecOps,公司可以始终加速其 CI / CD 管道,同时确保其不受任何漏洞的影响。 因此,开发和安全团队之间的协作与交流至关重要,因此不应忽视。
随着 DevSecOps 的兴起,安全性已成为持续交付流程中的重要组成部分。 具有连续性和安全性可确保最佳软件交付。
原文:https://www.devopsonline.co.uk/securing-the-ci-cd-pipelines-with-devsecops/
版权声明: 本文为 InfoQ 作者【啸天】的原创文章。
原文链接:【http://xie.infoq.cn/article/5463d912db3998527d6150559】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论