IBM Cloud Docs
Descripción de los resultados después de integrar Security and Compliance Center con las cadenas de herramientas de DevSecOps

Descripción de los resultados después de integrar Security and Compliance Center con las cadenas de herramientas de DevSecOps

Con IBM Cloud® Security and Compliance Center, puede automatizar la evaluación de la seguridad y la postura de conformidad para detectar vulnerabilidades. Al habilitar la integración de Security and Compliance Center utilizando plantillas de Ops DevSec, puede almacenar pruebas y supervisar la conformidad de los despliegues.

Cada ejecución de conducto de integración continua (CI) crea pruebas. Las pruebas incluyen los detalles de las operaciones que se realizan y se guardan en un repositorio Git o en un grupo Object Storage, que se conoce como un casillero de pruebas. De forma predeterminada, se utiliza un repositorio Git, pero si necesita que las pruebas sean más duraderas, por ejemplo, necesita una vida útil más larga, puede configurar un grupo Object Storage. De forma similar, la interconexión de Continuous Delivery (CD) recopila pruebas que proporcionan un seguimiento de auditoría de las tareas realizadas que pertenecen a pruebas de aceptación, solicitudes de cambio, etc. Lo que es más importante, la interconexión de conformidad continua (CC) crea una agregación de todos los fragmentos de pruebas individuales en un resumen de pruebas cuando se completa el despliegue. Cuando las pruebas de validación se ejecutan en los datos de interconexión, puede verificar que las diversas prácticas recomendadas se llevan a cabo como parte del proceso de despliegue de aplicaciones.

Antes de empezar

Visualice los resultados generados por Security and Compliance Center para asegurarse de que cumple los siguientes requisitos previos:

  • El nivel de acceso necesario para ver e interactuar con los resultados en Security and Compliance Center. Para ver los resultados, debe tener acceso de Lector al servicio Security and Compliance Center.
  • Una interconexión configurada. Para obtener ayuda con la configuración del conducto para que funcione con Security and Compliance Center, consulte Configuración de Security and Compliance Center.

Visualización de resultados

Para ver los resultados de la evaluación de conformidad, consulte el panel de control deSecurity and Compliance Center.

Security and Compliance Center vista de panel de control
Figura 1. Security and Compliance Center vista dasboard

Cuando las interconexiones de DevSecOps interactúan con Security and Compliance Center, la información se recopila de dos maneras diferentes. Security and Compliance Center envía o extrae la información en el panel de control en consecuencia.

Extraer modelo de datos

: Cuando se ejecuta una interconexión CI/CD, se crea un resumen de pruebas y se denomina summary.json. Este resumen de pruebas se reenvía a un casillero de pruebas o a un repositorio. Cada entrada del resumen se correlaciona con un control en Security and Compliance Center.

tarea de resumen de pruebas de CD
Figura 2. Tarea de resumen de pruebas de CD
Basándose en la planificación que se establece cuando se crea un archivo adjunto en Security and Compliance Center, el servicio extrae el resumen de información del bloqueador para evaluar y presentar los resultados en la interfaz de usuario de Security and Compliance Center.

Controles de cadena de herramientas
Figura 3. Controles de cadena de herramientas

Enviar modelo de datos
Cada vez que se ejecuta una interconexión CD/CC con una integración válida, se genera un resumen de pruebas y se reenvía al servicio Security and Compliance Center. El servicio evalúa y presenta en el panel de control Security and Compliance Center. \n En el panel de control, pulse el perfil para el que desea ver los resultados. A continuación, seleccione la pestaña Recursos. Desde allí, pulse Detalles adicionales para ver más información como, por ejemplo, dónde encontrar la documentación de soporte. Por ejemplo, puede ver enlaces a pipeline-run evidence summary, toolchain, pipeline-run o devsec-scc-doc.

vista de detalles adicionales deSecurity and Compliance Center
Figura 4. Security and Compliance Center Vista Más detalles

Cada pieza de información se evapara contra un control y se proporciona un estado. Para cada control, se marca como Compatible o No conforme. Para recursos individuales, el estado puede ser Correcto o Fallo en función de si el fragmento de pruebas cumple la calificación de control. También puede ser No se puede realizar. Este estado se puede devolver cuando se intenta una evaluación pero no hay ninguna prueba correspondiente para evaluar; es posible que se haya eliminado o omitido una tarea en el conducto de AC o que se realice un despliegue utilizando CD EMERGENCY para alterar temporalmente los errores de pruebas.

Panel de control de control de ejemplo:

Validación por control
Figura 5. Validación por control

Panel de control de recursos de ejemplo:

Validación por recurso
Figura 6. Validación por recurso

Aunque es posible desplegar una imagen con validaciones imperfectas, se informa sobre la inspección en Security and Compliance Center.

Próximos pasos

Para explorar cadenas de herramientas en Security and Compliance Center, puede obtener información sobre la gestión de ámbitos en la documentación deSecurity and Compliance Center.