IBM Cloud Docs
Note di rilascio per DevSecOps

Note di rilascio per DevSecOps

Utilizzate le note di rilascio per conoscere le ultime modifiche apportate a IBM Cloud DevSecOps.

16 luglio 2024

Aggiornamenti per la versione DevSecOps- open-v9.35.0 e open-v10.16.0

Aggiornamento ZAP
La versione di ZAP utilizzata per la scansione dinamica è stata aggiornata alla versione 2.15.
gosec aggiornamento immagine
L'immagine gosec utilizzata per la scansione della sicurezza del codice sorgente Go nella fase di scansione statica è stata aggiornata alla versione 2.20.0.
Punteggi CVSS
I problemi di conformità identificati dallo scanner sysdig ora contengono i punteggi CVSS.

10 luglio 2024

Aggiornamenti per DevSecOps versione - open-v9.34.1 E open-v10.15.1

Release correzione bug
Questa release ha solo correzioni di bug

Aggiornamenti per DevSecOps versione - open-v9.34.0 E open-v10.15.0

Avviso su linea di base non valida durante il rilevamento dei segreti
I controlli aggiunti per impedire il rilevamento dei segreti scansionano se viene fornito un file di base corrotto/incompatibile. Verrà ora creato un problema se la scansione di rilevamento segreti trova un file di base che non funzionerebbe con lo scanner, gli utenti dovranno correggere lo stesso per procedere con la scansione

Aggiornamenti per DevSecOps versione - open-v9.33.0 E open-v10.14.0

Release correzione bug
Questa release ha solo correzioni di bug

Aggiornamenti per DevSecOps versione - open-v9.32.0 E open-v10.13.0

Miglioramenti alla funzionalità "Controllo delle prove richieste" nella pipeline CD/CC
Rilasciato il nuovo schema (v2 ) per il file di configurazione della convalida delle prove richiesto. Per favore, riferisci Qui per la documentazione utilizzando il nuovo schema.
Miglioramenti delle prestazioni
Prestazioni della pipeline migliorate quando Cloud Object Storage(COS) come archivio delle prove per le prove di una pipeline
Supporto per le politiche Sysdig
Aggiunto il supporto per le policy Sysdig. I problemi vengono creati in base alle policy applicate.

18 giugno 2024

Aggiornamenti per DevSecOps versione - open-v9.31.0 E open-v10.12.0

Promozione parziale degli artefatti dell'inventario
Ora è possibile promuovere un sottoinsieme di articoli di inventario durante la promozione. Vedere https://cloud.ibm.com/docs/devsecops?topic=devsecops-cd-devsecops-promotion-pipeline#cd-devsecops-promotion-partial-promotion per ulteriori dettagli

06 giugno 2024

Aggiornamenti perDevSecOps versione -open-v9.30.0 Eopen-v10.11.0

Il nome dell'esecuzione della pipeline può essere personalizzato
È ora possibile utilizzare nomi personalizzati per il nome di esecuzione pipeline. Il nome di esecuzione pipeline personalizzato può essere fornito utilizzando la proprietà di ambiente pipeline-display-name
Fasi di fine personalizzate per pipeline di promozione e convalida
Sono state aggiunte fasi di fine personalizzate per le pipeline di convalida della promozione e della promozione, in cui lo script fornito dall'utente può essere eseguito nella fase di fine ai fini della ripulitura. Funziona in modo simile alle fasi di completamento nelle pipeline CI, PR, CD, CC
Miglioramenti al controllo della prova richiesti
Migliorato il comando cocoa locker evidence check per supportare la versione 2 dello schema di configurazione. Lo schema di configurazione aggiornato consente agli utenti di specificare l'ambiente dell'applicazione o l'ambiente del servizio fornendo i dettagli del nome e della regione insieme alla serie di prove richiesta da convalidare per l'ambiente dell'applicazione o del servizio fornito.
Resa facoltativa la scansione di Code Risk Analyser utilizzando le proprietà dell'ambiente
Tre proprietà dell'ambiente opt-in sono state aggiunte di seguito per fornire un'opzione di opt in / out delle scansioni CRA. Consultare https://cloud.ibm.com/docs/devsecops?topic=devsecops-cd-devsecops-cra-scans#optout-cra-scans
Tabella 1. Parametri delle proprietà di ambiente
Nome Tipo Serie di valori Obbligatorio o facoltativo Pipeline (PR/CI/CD/CC) Proprietà ambiente Predefinito Descrizione
cra-bom-generate enum 0 o 1 facoltativo CI/PR/CC 1 La generazione SBOM (Software Bill of Materials) verrà eseguita dalla CRA solo se questo valore è impostato su 1
cra-vulnerability-scan enum 0 o 1 facoltativo CI/PR/CC Yes 1 La scansione della vulnerabilità CRA verrà eseguita solo se questo valore è impostato su 1 e cra-bom-generate è impostato su 1. Se questo valore è impostato su 1 e cra-bom-generate è impostato su 0, questa scansione verrà contrassegnata come non riuscita
cra-deploy-analysis enum 0 o 1 facoltativo CI/PR/CC 1 L'analisi di distribuzione CRA verrà eseguita solo se questo valore è impostato su 1

09 maggio 2024

Aggiornamenti perDevSecOps versione -open-v9.29.0 Eopen-v10.10.0

Correzioni allo script clone_repo
Lo script clone_repo ora riporta l'errore esatto in caso di errore del clone.
Messaggi di errore indesiderati rimossi per le richieste di modifica
Messaggi di errore inappropriati rimossi dal log per la gestione delle modifiche mediante gitlab

Aggiornamenti perDevSecOps versione -open-v9.28.1 Eopen-v10.9.1

Release correzione bug
Questa release ha solo correzioni di bug

18 aprile 2024

Aggiornamenti perDevSecOps versione -open-v9.27.0 Eopen-v10.8.0

Lo strumento sicuro Sysdig utilizza un nuovo motore di vulnerabilità
L'integrazione dello strumento sicuro Sysdig ora utilizza un nuovo motore di vulnerabilitàDevSecOps.
Prove per la revisione tra pari nel pipeline CC
La pipeline CC raccoglierà ora le prove per la convalida della revisione tra pari.
Supporto per la regione eu-es
DevSecOps supporto delle toolchain eu-es regione.

Aggiornamenti perDevSecOps versione -open-v9.26.0 Eopen-v10.7.0

Funzionamento non corretto con l'attività di fine CD
In precedenza, l'attività di fine CD aveva un comportamento diverso. Questo problema è stato risolto ora.

Aggiornamenti perDevSecOps versione -open-v9.25.1 Eopen-v10.6.2

La proprietà dell'ambiente IAM_ACCESS_TOKEN è stata rimossa
La proprietà dell'ambiente IAM_ACCESS_TOKEN è stata annullata in questa release.
La prova non riuscita verrà raccolta se il certificato di verifica non è disponibile
Durante la fase di verifica della risorsa utente, se non è disponibile il certificato di verifica - DevsecOps raccoglie le prove non riuscite.

Aggiornamenti perDevSecOps versione -open-v10.6.1

Supporto per il rollback inline in modalità dev cd pipelines
La modalità di sviluppo delle pipeline cd viene aggiornata per supportare il rollback inline.

Aggiornamenti perDevSecOps versione -open-v9.25.0 Eopen-v10.6.0

Supporto per il rollback in linea, in caso di errore di distribuzione
La distribuzione continua ora supporta il rollback inline quando una distribuzione non riesce. Per ulteriori informazioni, consultare Rollback in linea.
Proprietà dell'ambiente obsoleta IAM_ACCESS_TOKEN
La proprietà di ambiente IAM_ACCESS_TOKEN è obsoleta. Se questo token è richiesto dagli utenti, può essere richiamato utilizzando get_env iam-access-token.
Capacità di eseguire lo strumento detect-secrets in modalità docker e in modalità non docker
Lo strumento detect-secrets può essere eseguito in modalità non docker definendo detect-secrets-docker in 0. Per impostazione predefinita, detect-secrets viene eseguito in modalità docker.

21 marzo 2024

Aggiornamenti perDevSecOps versione -open-v9.24.0 Eopen-v10.5.0

Supporto per formati tfvars complessi in Devsesbirri IaC
I parametri tfvars in formato JSON sono ora supportati.
Stato di esenzione se sono stati trovati problemi nel riepilogo delle prove
Il riepilogo delle prove indica ora lo stato di esenzione dei problemi rilevati.

Aggiornamenti perDevSecOps versione -open-v9.23.8 Eopen-v10.4.8

Fallback ai valori predefiniti per i parametri dello stage in .pipeline-config.yaml
In .pipeline-config.yaml, tutti i parametri dello stage ricadono su defaults.yaml se non sono specificati in uno stage dedicato.

22 febbraio 2024

Aggiornamenti perDevSecOps versione -open-v9.23.7 Eopen-v10.4.7

Convalida firma immagine obbligatoria
La validazione della firma dell'immagine è obbligatoria per le distribuzioni.
Icona :status-yellow: in slack
Aggiunta nuova icona di avvertenza :status-yellow: nelle notifiche Slack

Aggiornamenti perDevSecOps versione -open-v9.23.6 Eopen-v10.4.6

Convalida delle fasi della pipeline
All'inizio della pipeline, si verifica la convalida delle fasi della pipeline rispetto alla configurazione della fase facoltativa richiesta.

24 gennaio 2024

Passaggio da SNYK a database Clair
Lo strumento Code Risk Analyzer ora utilizza il database Clair per individuare le vulnerabilità.
Rimozione di pipeline.data
pipeline.data, che viene utilizzato per condividere le variabili di ambiente nella pipeline, non è più disponibile.
Raccolta di prove pre - produzione
In base ai requisiti FedRAMP, le richieste di modifica pre - produzione devono essere collegate alla richiesta di modifica di produzione e la prova pre - produzione deve essere inclusa nella modifica di produzione del riepilogo della richiesta. Per soddisfare questi requisiti, abbiamo sviluppato una nuova funzionalità per raccogliere prove pre - produzione. Per ulteriori informazioni, vedi Raccogli il riepilogo delle prove.
Attestazione SLSA
Ora puoi attestare le immagini create nella pipeline CI con attestazione SLSA di livello 3. Per ulteriori informazioni, vedi Configurazione della raccolta di attestazioni SLSA per immagini.
Prove di raccolta per più asset
Ora è possibile raccogliere prove per più asset. Per ulteriori informazioni, consultare Più asset in raccolta - prova.
Supporto per l'API push Security and Compliance Center
È ora possibile inviare i risultati al Control Centerdi sicurezza. Per ulteriori informazioni, consultare la documentazione di integrazione di Security and Compliance Center.

08 dicembre 2023

  • Stato ambra per la distribuzione con errori- La distribuzione della CR approvata manualmente con la prova rossa ora mostra lo stato ambra.

  • Elaborazione in batch della raccolta di prove- Durante l'esecuzione di una pipeline, tutte le prove vengono raccolte localmente nella pipeline e procedono alla fine dell'esecuzione della pipeline. Questo processo migliora le prestazioni. Per ulteriori informazioni, consultare Raccolta di prove batch.

30 ottobre 2023

  • Area di lavoro isolata per singole fasi in una pipeline- È disponibile una nuova proprietà di ambiente $STAGE_WORKSPACE che punta a un'ubicazione specifica della fase. Qualsiasi dato scritto in questa località è accessibile esclusivamente alla fase attuale e rimane inaccessibile ad altre fasi.

  • Fase separata per eseguire le scansioni di rilevamento - segreto- Eseguendo l'attività di rilevamento dei segreti insieme ai controlli di conformità, è possibile che si verifichi una perdita di un segreto nel registro del contenitore o nei cluster di sviluppo. Per evitare questa situazione, detect - secrets è ora una fase separata e una pipeline avrà esito negativo se vengono rilevati dei segreti. Per ulteriori informazioni, vedi Configurazione delle scansioni detect - secrets.

  • Capacità di ignorare le fasi in open-v10- Gli utenti possono ignorare le fasi della pipeline definendo skip: true in pipeline-config.yaml

  • Possibilità di configurare le fasi in un ordine specifico- Gli utenti possono specificare un ordine definendo runAfter: <task name>. Ciò renderà l'attività corrente in attesa del completamento dell'attività precedente, anche quando entrambe le attività sono pianificate per l'esecuzione simultanea

  • Esecuzione simultanea diDevSecOps Fasi della pipeline- Le pipeline devsecops sono state ristrutturate per eseguire contemporaneamente fasi indipendenti. Ciò accelera notevolmente l'esecuzione complessiva della pipeline. Per ulteriori informazioni, consultare Migliorare le prestazioni della pipeline di conformità utilizzando attività simultanee.

  • Convalida di SBOM- La convalida di SBOM per impostazione predefinita.

  • Aggiunta dello strumento GoSec all'interno dello stage Static Scan per CI Pipeline- La scansione di sicurezza GoSec è stata integrata nella fase dei controlli di conformità per le applicazioni Go. Per ulteriori informazioni, vedi Configurazione delle scansioni GoSec.

  • Aggiunta della fase di revisione peer- Aggiunto una nuova fase di revisione peer per verificare se la revisione peer è stata eseguita su tutti i commit nel ramo di integrazione. Per ulteriori informazioni, vedi Conformità revisione peer.

  • Supporto per la gestione di asset non basati su immagini- Supporto pipeline per lo sviluppo di asset generici che possono essere di qualsiasi tipo. ad es. tar, zip, ecc.

  • Aggiunta della scansione dello strumento SysDig nello stage Artifact Scan per CI Pipeline- Strumento sicuro Sysdig integrato per eseguire la scansione delle immagini del contenitore. Per ulteriori informazioni, vedi Configurazione delle scansioni dell'immagine Sysdig.

  • Fase di completamento personalizzabile- Modificata l'ultima fase della pipeline da eseguire sempre indipendentemente dallo stato della pipeline e aggiunta la capacità di avere una fase personalizzabile nell'ultima fase per l'utilizzo della manutenzione in caso di errore della pipeline. Per ulteriori informazioni, consultare Stage di finitura personalizzati.

  • Nuova pipeline aggiunta per eseguire la convalida della PR dell'inventario- Una nuova pipeline è stata creata per escludere la convalida della PR dell'inventario nella toolchain CD. Per ulteriori informazioni, consultare Come accettare la convalida della promozione?

  • Correzione automatica delle vulnerabilità utilizzando CRA in CC Pipeline- Aggiunta la possibilità di correggere automaticamente le vulnerabilità utilizzando CRA. Per ulteriori informazioni, vedi Riparazione automatica delle vulnerabilità

  • Creazione di SBOM in formato cyclonedx e relativa convalida- Aggiunta la capacità di generare e unire SBOM utilizzando il formato cyclonedx e anche il bom viene convalidato utilizzando lo strumento sbom-utility. Per ulteriori informazioni, consultare Generazione di SBOM(software bill of materials)in formato cyclonedx

  • Riduzione delle prove- È stato sviluppato un nuovo strumento per ridurre le prove più vecchie prima di un tempo specifico. Per ulteriori informazioni, consultare Rimozione della prova di conformità generata prima di un'ora stabilita

31 gennaio 2023

  • Convalida della richiesta di pull della promozione inventario- Fornisce l'aggregazione delle prove e il riepilogo per il nuovo stato in cui l'inventario entra quando la RdA della promozione viene unita. L'aggregazione implica la raccolta di prove e il riepilogo da tutte le pipeline di IC responsabili degli aggiornamenti dell'inventario. La funzione fornisce una convalida anticipata della promozione inventario prima che la RdA venga unita al ramo di destinazione (ambiente). In base allo stato della RdA, è possibile procedere con la promozione (quando tutti i risultati della prova sono VERDE) o correggere la prova (quando la prova è contrassegnata in ROSSO) nelle pipeline IC prima di procedere con l'unione RdA della promozione. Per ulteriori informazioni, vedi Promotion pipeline.

  • Supporto per il clone del modulo secondario Git- Aumenta la capacità della pipeline CI di clonare i moduli secondari Git per i repository di applicazione che fanno riferimento a moduli secondari. Per ulteriori informazioni, consultare Configurazione della clonazione dei moduli secondari git.

  • Impedisci alla pipeline CI di aggiornare l'inventario per una build RED- Consente di rilevare un malfunzionamento all'interno della pipeline CI e di impedire alla pipeline di aggiornare l'inventario. Per ulteriori informazioni, vedi Parametri di integrazione continua.

07 dicembre 2022

DevSecOps L'integrazione continua per Infrastructure as Code è disponibile come modello di Toolchain nel catalogo Toolchain. Per ulteriori informazioni, vedere Sviluppa e distribuisci in modo sicuroIaC conDevSecOps pratiche.

30 novembre 2022

  • Le scansioni CMR ora fanno parte di app-preview-pr-listener nella pipeline CI.
  • Cacao Tekton get-pipeline-logs supporta il pull dei log per fasi specifiche.
  • Corretto URL Git GraphQL non corretto per il ramo di destinazione non esistente nel repository di inventario.

25 ottobre 2022

  • Il programma di analisi dei problemi CMR ora contiene un campo Introdotto da quando si crea un nuovo problema rilevato durante una scansione.
  • Registrazione degli errori migliorata per il debug delle richieste di promozione di lunga durata nella pipeline del CD.

5 ottobre 2022

  • Supporto attività ambra per pipeline per notificare agli utenti che una pipeline ha un malfunzionamento non irreversibile.
  • Miglioramenti delle prestazioni nel flusso della richiesta di modifica della pipeline CD.

16 settembre 2022

  • Aggiunta la proprietà di ambiente retry_sleep per il numero di scansioni VA ( Vulnerability Advisor ) per tentare l'esecuzione di una pipeline.
  • Sono stati migliorati i messaggi di log in modo che lo stato della prova sia più chiaro. Ad esempio, Evaluated evidence status: <success|failure|pending>.

11 agosto 2022

  • Utilizzare il campo della data di scadenza nativa in GitLab per gestire i problemi.
  • Aggiunto custom-exempt-label come una proprietà di ambiente che quindi le pipeline non sono contrassegnate come non riuscite se hanno l'etichetta esente corrispondente.
  • Corretto Cloud Object Storage come locker delle prove per la pipeline CC.

25 luglio 2022

  • Carica riepilogo delle prove di conformità continua per Security and Compliance Center.

24 giugno 2022

  • Integrazione DevOps Insights abilitata per il modello di conformità continua (CC).

Se disponi di una toolchain CC esistente, puoi impostare il file doi-toolchain-id E doi-environment proprietà collegando un'integrazione esistente dello strumento Insights dal tuoDevSecOps catena di strumenti di integrazione continua (CI).

  • Aggiunto tag ADevSecOps script della pipeline per visualizzare i risultati della scansione di conformità continua nell'interfaccia utente di Insights.
  • Risultati della scansione dinamica emersa nel dashboard Qualità Insights.
  • Registrazione dei messaggi migliorata per l'attività del programma di valutazione della pipeline in modo che gli utenti possano comprendere meglio cosa ha avuto esito negativo o positivo per l'esecuzione di una pipeline.

17 giugno 2022

Al BOM di distribuzione collegato in una richiesta di modifica generata mancavano le informazioni relative alle risorse utente nell'inventario. Queste informazioni sono ora incluse.

19 maggio 2022

  • Notifica agli utenti i problemi relativi agli incidenti che si avvicinano alle date di scadenza e le date di scadenza scadute utilizzando Slack dopo aver abilitato l'integrazione dello strumento Slack.
  • Supporto per il formato cyclonedx quando si genera la distinta base del software utilizzando Code Risk Analyzer nelle pipeline di conformità.

13 maggio 2022

È stato aggiunto il supporto alle pipeline di Integrazione Continua e Conformità Continua per problemi di incidente, come vulnerabilità e CVE correlati alla creazione, all'archiviazione, all'aggiornamento e alla chiusura di tali problemi. Con questa funzione, è possibile impostare le date di scadenza per i problemi, aggiungere assegnatari predefiniti e filtrare i problemi utilizzando le etichette.

24 marzo 2022

PresentazioneIBM CloudDevSecOps

DevSecOps è una metodologia che integra le pratiche di sicurezza con lo sviluppo del software e il ciclo di vita delle operazioni. L'obiettivo della fusione è quello di dare priorità all'equilibrio tra velocità di sviluppo e sicurezza.

  • Nuovo modello di conformità continua che scansiona periodicamente il codice dell'applicazione distribuita.
  • Supporto per scansioni dinamiche Zap che utilizzano pipeline asincrone.
  • Supporto per la traccia dell'origine degli script predefiniti in esecuzione nelle pipeline di conformità.
  • I problemi relativi all'incidente supportano un campo "Data di scadenza" basato sulla gravità del problema.
  • Problemi di formattazione creati dalla pipeline Continuous Compliance per una migliore leggibilità.
  • Supporto per la disabilitazione delle scansioni statiche e dinamiche che utilizzano proprietà di ambiente facoltative.
  • IU di integrazione dello strumento IBM Cloud Object Storage aggiornata per una facile configurazione.
  • Supporto per la query delle tag di ambiente dal repository di inventario durante l'impostazione della toolchain CC e CD.
  • Nuovo supporto procedura guidata per la personalizzazione della pagina di benvenuto.

IBM Cloud® DevOps Insights non è supportato nella pipeline Continuous Compliance. Inoltre, esiste un supporto limitato per l'attivazione di scansioni dinamiche per più applicazioni pronte all'uso.

16 marzo 2022

  • MiglioratoDevSecOps codice della pipeline in cui pubblicare i risultati della CRADevOps Insights inclusi record di distinta base, vulnerabilità e distribuzione.
  • È stato aggiunto il supporto per il parametro facoltativo del plug-in CRA --dockerfilepattern.