Descripción de los resultados después de integrar Security and Compliance Center con las cadenas de herramientas de DevSecOps
Con IBM Cloud® Security and Compliance Center, puede automatizar la evaluación de la seguridad y la postura de conformidad para detectar vulnerabilidades. Al habilitar la integración de Security and Compliance Center utilizando plantillas de Ops DevSec, puede almacenar pruebas y supervisar la conformidad de los despliegues.
Cada ejecución de conducto de integración continua (CI) crea pruebas. Las pruebas incluyen los detalles de las operaciones que se realizan y se guardan en un repositorio Git o en un grupo Object Storage, que se conoce como un casillero de pruebas. De forma predeterminada, se utiliza un repositorio Git, pero si necesita que las pruebas sean más duraderas, por ejemplo, necesita una vida útil más larga, puede configurar un grupo Object Storage. De forma similar, la interconexión de Continuous Delivery (CD) recopila pruebas que proporcionan un seguimiento de auditoría de las tareas realizadas que pertenecen a pruebas de aceptación, solicitudes de cambio, etc. Lo que es más importante, la interconexión de conformidad continua (CC) crea una agregación de todos los fragmentos de pruebas individuales en un resumen de pruebas cuando se completa el despliegue. Cuando las pruebas de validación se ejecutan en los datos de interconexión, puede verificar que las diversas prácticas recomendadas se llevan a cabo como parte del proceso de despliegue de aplicaciones.
Antes de empezar
Visualice los resultados generados por Security and Compliance Center para asegurarse de que cumple los siguientes requisitos previos:
- El nivel de acceso necesario para ver e interactuar con los resultados en Security and Compliance Center. Para ver los resultados, debe tener acceso de Lector al servicio Security and Compliance Center.
- Una interconexión configurada. Para obtener ayuda con la configuración del conducto para que funcione con Security and Compliance Center, consulte Configuración de Security and Compliance Center.
Visualización de resultados
Para ver los resultados de la evaluación de conformidad, consulte el panel de control deSecurity and Compliance Center.
Cuando las interconexiones de DevSecOps interactúan con Security and Compliance Center, la información se recopila de dos maneras diferentes. Security and Compliance Center envía o extrae la información en el panel de control en consecuencia.
Extraer modelo de datos
: Cuando se ejecuta una interconexión CI/CD, se crea un resumen de pruebas y se denomina summary.json. Este resumen de pruebas se reenvía
a un casillero de pruebas o a un repositorio. Cada entrada del resumen se correlaciona con un control en Security and Compliance Center.
Figura 2. Tarea de resumen de pruebas de CD - Basándose en la planificación que se establece cuando se crea un archivo adjunto en Security and Compliance Center, el servicio extrae el resumen de información del bloqueador para evaluar y presentar los resultados en la interfaz de usuario de Security and Compliance Center.
- Enviar modelo de datos
- Cada vez que se ejecuta una interconexión CD/CC con una integración válida, se genera un resumen de pruebas y se reenvía al servicio Security and Compliance Center. El servicio evalúa y presenta en el panel de control Security and Compliance
Center. \n En el panel de control, pulse el perfil para el que desea ver los resultados. A continuación, seleccione la pestaña Recursos. Desde allí, pulse Detalles adicionales para ver más información
como, por ejemplo, dónde encontrar la documentación de soporte. Por ejemplo, puede ver enlaces a
pipeline-run evidence summary,toolchain,pipeline-runodevsec-scc-doc.
Cada pieza de información se evapara contra un control y se proporciona un estado. Para cada control, se marca como Compatible o No conforme. Para recursos individuales, el estado puede ser Correcto o Fallo en función de si el fragmento de pruebas cumple la calificación de control. También puede ser No se puede realizar. Este estado se puede devolver cuando se intenta una evaluación pero no hay ninguna
prueba correspondiente para evaluar; es posible que se haya eliminado o omitido una tarea en el conducto de AC o que se realice un despliegue utilizando CD EMERGENCY para alterar temporalmente los errores de pruebas.
Panel de control de control de ejemplo:
Panel de control de recursos de ejemplo:
Aunque es posible desplegar una imagen con validaciones imperfectas, se informa sobre la inspección en Security and Compliance Center.
Próximos pasos
Para explorar cadenas de herramientas en Security and Compliance Center, puede obtener información sobre la gestión de ámbitos en la documentación deSecurity and Compliance Center.