IBM Cloud Docs
Flux de travaux d'implémentation de référence DevSecOps

Flux de travaux d'implémentation de référence DevSecOps

L'architecture de référence DevSecOps rationalise la conformité et l'état de préparation à l'audit en utilisant des blocs de construction tels que la bibliothèque de tâches Tekton et les modèles de chaîne d'outils.

Etant donné que les processus d'intégration continue, de déploiement continu et de conformité continue sont normalisés, les équipes de développement d'applications peuvent s'assurer qu'elles respectent les meilleures pratiques en matière de sécurité. L'architecture de référence DevSecOpsA methodology that integrates security practices with the software development and operations lifecycle. The goal of the merge is to prioritize the balance of development speed and security. fournit un ensemble de modèles prédéfinis d'intégration continue, de déploiement continu et de chaîne d'outils de conformité continue. Ces modèles utilisent une collection d'intégrations d'outils et de pipelines Tekton de référence personnalisables pour les opérations de génération, d'analyse, de test, de gestion des changements et de déploiement. Les définitions de pipeline sont gérées et mises à jour périodiquement par IBM, sauf si vous modifiez le paramètre par défaut lors de la création des chaînes d'outils.

Les pipelines Tekton fournissent une infrastructure préfabriquée de scripts personnalisés que vous pouvez utiliser pour garantir l'orchestration conforme et automatisée des modifications de code et de configuration. Les pipelines permettent également de gérer un inventaire d'édition GitOps pendant que celui-ci collecte et stocke des preuves pouvant être utilisées pour générer des demandes de changement auditables.

Vous pouvez utiliser les pipelines pour effectuer un déploiement sur des environnements de cloud public ou cible hybrides à l'aide de noeuds worker de pipeline privé Tekton. Les pipelines Tekton s'exécutent dans des images de conteneur prédéfinies en même temps que certains scripts utilisateur. Vous pouvez exécuter tout ce qui peut être scripté, dans les limites des pipelines Tekton.

Intégration continue à gauche, conception de déploiement continu

Le diagramme suivant illustre le flux de travaux d'implémentation et les principales fonctions de l'architecture DevSecOps.

Flux de travaux d'implémentation de référence
Figure 1. Flux de travaux d'implémentation de référence

  • La validation de demande d'extraction ou de fusion utilise un pipeline de demande d'extraction spécifique qui renvoie le statut à la demande d'extraction. cette fonction permet aux développeurs d'identifier les problèmes au début du cyle de développement.
  • L'intégration est réalisée à l'aide d'un pipeline d'intégration continue qui implémente de nombreux contrôles prêts à l'emploi et collecte des preuves normalisées pour ces intégrations dans un référentiel de preuves. Ce pipeline écrit également des métadonnées sur les artefacts à déployer dans un référentiel d'inventaire d'artefacts, activant ainsi les pratiques GitOps.
  • La distribution est effectuée à l'aide d'un pipeline de déploiement continu pour traiter le contenu de l'inventaire des artefacts et collecter des informations collectées afin de générer une demande de changement pour chaque déploiement. Ce pipeline peut également enregistrer des faits de conformité dans Security and Compliance Center, lesquels peuvent être évalués par rapport à un profil de conformité.

Dans le cadre d'un déploiement de transfert de déploiement continu, les pipelines d'intégration continue émettent généralement vers la branche maître d'inventaire en utilisant des demandes d'extraction pour promouvoir les modifications vers une branche de transfert. Ensuite, lorsqu'ils sont prêts, les changements sont promus à nouveau de la préproduction vers la production avec une promotion de branche ultérieure. Pour piloter un déploiement d'édition coordonné, vous pouvez disposer de plusieurs pipelines de déploiement continu qui génèrent un inventaire partagé et un référentiel d'informations collectées.

Une seule demande de changement est créée lorsque plusieurs artefacts de cet inventaire sont promus.

Vous pouvez disposer de plusieurs pipelines de déploiement continu qui extraient un inventaire partagé et un référentiel d'informations collectées, ce qui permet de cibler plusieurs environnements à partir de la même entrée d'intégration continue.