DevSecOps 파이프라인이 저장소를 사용하는 방법

애플리케이션을 빌드, 테스트 및 배치하기 위해 DevSecOps 파이프라인은 두 개의 저장소를 사용합니다.

• app-repo: 애플리케이션의 소스 코드를 포함하는 애플리케이션 저장소입니다.
• config-repo: 파이프라인 구성 YAML 파일 및 스크립트를 포함하는 구성 저장소입니다.

DevSecOps 샘플 앱 에서 이 두 저장소는 동일합니다. 대부분의 DevSecOps 어댑터는 이 패턴으로 시작합니다. 그러나 더 많은 마이크로서비스를 온보딩할 때 전용 및 별도의 파이프라인 구성 저장소가 필요할 수 있습니다. 애플리케이션 저장소와 구성 저장소가 샘플 앱에서 동일하기 때문에 파이프라인이 실행될 때 저장소가 두 번 복제되며, 이로 인해 오류가 발생할 수 있습니다. 따라서 서로 다른 DevSecOps 도구 체인 및 파이프라인 간에 공유하고 재사용할 수 있는 구성 파일 및 스크립트를 호스팅하기 위해 별도의 구성 저장소를 보유하는 것이 우수 사례입니다. 구성 저장소 사용자 정의에 대한 자세한 정보는 고급 사용자 정의 단계 를 참조하십시오.

DevSecOps 스크립트는 app-repo 및 config-repo 를 두 개의 개별 저장소로 간주합니다. 스크립트는 파이프라인의 시작 단계 중에 저장소를 두 번 복제합니다. 이러한 복제본을 app-repo 및 one-pipeline-config-repo 라고 합니다. 각 스테이지는 config repo 의 컨텍스트에서 실행됩니다.

옵션 1: 애플리케이션 저장소를 추가하고 샘플 애플리케이션 저장소를 구성 저장소로 사용

애플리케이션 저장소를 도구 체인에 추가하고 샘플 애플리케이션 저장소를 구성 저장소로 사용하려면 다음 단계를 완료하십시오.

1. IBM Cloud 콘솔에서 메뉴 아이콘 > DevOps > 도구 체인을 클릭하고 편집할 도구 체인을 선택하십시오.
2. 추가 를 클릭하십시오.
3. 앱 저장소가 호스팅되는 위치 ( Gitlab 또는 GitHub) 를 선택하십시오.
4. 기본 서버를 사용하거나 새 서버를 추가하십시오.
5. 사용자 정의 서버 및 개인 액세스 토큰의 URL을 입력하십시오.
6. 통합 작성을 클릭하십시오.
7. 애플리케이션 소스 코드 저장소 URL을 입력하십시오.
8. 통합 작성을 클릭하십시오.

다음 단계를 완료하여 샘플 애플리케이션 저장소를 구성 저장소로 지정하십시오.

1. IBM Cloud 콘솔에서 메뉴 아이콘 > DevOps > 도구 체인을 클릭하고 편집할 도구 체인을 선택하십시오.
2. pr-pipeline 을 클릭하십시오.
3. 설정 을 클릭하고 환경 특성 탭으로 이동하십시오.
4. 샘플 애플리케이션 저장소 URL을 가리키도록 pipeline-config-repo 특성의 값을 편집하십시오.
5. CI 도구 체인으로 돌아가십시오.
6. ci-pipeline 을 클릭하십시오.
7. 설정 을 클릭하고 환경 특성 탭으로 이동하십시오.
8. 샘플 애플리케이션 저장소 URL을 가리키도록 pipeline-config-repo 특성의 값을 편집하십시오.

CI 파이프라인은 이제 샘플 앱 저장소 pipeline-config 를 구성 저장소로 사용합니다.

옵션 2: 샘플 애플리케이션 저장소를 사용자 고유의 애플리케이션 저장소로 바꾸기

샘플 앱 저장소를 자체 앱 저장소로 대체하려면 다음 단계를 완료하십시오.

1. IBM Cloud 콘솔에서 메뉴 아이콘 > DevOps > 도구 체인을 클릭하고 편집할 CI 도구 체인을 선택하십시오.
2. 샘플 애플리케이션 소스 코드 저장소를 찾아 구성을 선택하십시오.
3. 저장소 URL을 애플리케이션 소스 코드 저장소 URL로 바꾸십시오.
4. 통합 저장을 클릭하십시오.

샘플 앱 저장소를 대체한 후 새 앱 저장소에 .pipeline-config.yaml 파일 및 해당 스크립트가 포함되어 있는지 확인하십시오. 샘플 앱 저장소에서 애플리케이션 저장소로 .pipeline-config.yaml 파일 및 스크립트를 복사하거나 이 샘플 구성 파일 을 사용하십시오.

CI 파이프라인 구성

애플리케이션 저장소를 추가한 후 새 저장소에 대해 작업하도록 CI 파이프라인을 구성해야 합니다.

DevSecOps에서 사용자 정의 스크립트 사용

pipeline-config.yaml 파일은 DevSecOps 파이프라인 동작을 조정하고 사용자 정의하는 키 컴포넌트입니다. 이 파일은 스크립트를 사용하여 애플리케이션을 빌드, 테스트 및 배치합니다. 이 파일은 스테이지가 구성되는 방법 및 실행되는 스크립트를 정의합니다. 자세한 정보는 사용자 정의 스크립트 를 참조하십시오.

DevSecOps 파이프라인에서 사용되는 스크립트의 두 가지 주요 카테고리가 있습니다.

• 애플리케이션을 빌드, 테스트 및 배치하는 데 사용되는 애플리케이션 관련 스크립트입니다. 이러한 스크립트는 사용자의 책임이며 DevSecOps 지원 범위를 벗어납니다. 이러한 스크립트에는 기본 구현이 없으므로 애플리케이션 또는 구성 저장소에 추가해야 합니다. Jenkins 또는 다른 소스에서 스크립트를 가져와야 할 수 있습니다.
• 보안 및 준수 스캔을 실행하는 보안 및 준수 스크립트입니다. 대부분 사용자 정의 구현을 사용하기 위해 대체할 수 있는 기본 스크립트 와 함께 제공됩니다.

시작 단계를 제외하고 CI, CD 또는 CC 파이프라인의 각 단계를 사용자 고유의 스크립트로 사용자 정의하여 단계의 기본 구현을 대체할 수 있습니다. 사용자 고유의 스크립트를 사용하여 시작 단계를 사용자 정의할 수 없습니다.

Bash 스크립트가 샘플로 제공되더라도 Python 또는 Go와 같은 다른 언어를 사용하여 애플리케이션을 빌드, 테스트 및 배치할 수 있습니다. 각 스테이지에 대해 올바른 image 를 사용 중인지 확인하십시오. DevSecOps 파이프라인 섹션의 Docker 이미지 를 참조하십시오.

CI 파이프라인의 다양한 단계를 요약하는 단계 및 태스크 표를 참조하십시오. 이 테이블은 또한 스테이지에 기본 참조 구현이 있는지 여부, 스테이지를 사용자 정의하거나 건너뛸 수 있는지 여부 또는 스테이지 실행에 필요한 명시적 증거 콜렉션이 있는지 여부에 대한 통합 정보를 제공합니다.

CD 파이프라인 구성

DevSecOps 지속적 통합, 지속적 배치 워크플로우 에서 CI 파이프라인은 CI 파이프라인의 deploy-release 단계 중에 자원 명세 저장소에 업데이트를 푸시합니다. 자세한 정보는 샘플 release.sh 스크립트 를 참조하십시오.

이 워크플로우에서 다중 CI 트리거 및 다른 DevSecOps CI 도구 체인은 동일한 자원 명세 저장소에 기여할 수 있습니다.

CI 파이프라인과 달리 CD 파이프라인에서 사용되는 배치 스크립트는 Jenkins, Travis 또는 일부 기타 플랫폼의 현재 스크립트에서 inventory repo 의 항목을 사용하도록 조정되어야 합니다.

이 샘플 코드 는 인벤토리에서 정보를 검색하고 이를 사용하여 Kubernetes 배치를 실행하는 방법을 보여줍니다.

DevSecOps 스크립트 위치

DevSecOps 파이프라인은 기본 보안 및 스캔 도구와 연관된 스크립트와 함께 제공됩니다.

예를 들어, 스테이지 로그의 시작은 기본 스크립트를 참조합니다.

scan-artifact:
  image: icr.io/continuous-delivery/pipeline/pipeline-base-ubi:3.24
  dind: true
  dind_image: icr.io/continuous-delivery/toolchains/devsecops/docker:20.10.21-dind
  abort_on_failure: false
  image_pull_policy: IfNotPresent
  script: |
    #!/bin/sh

    "/opt/commons/scan-artifact/scan.sh"

/opt/commons/scan-artifact/scan.sh 는 기본 스크립트입니다.

DevSecOps 파이프라인은 모든 태스크 및 단계에서 사용 가능한 COMMONS_PATH 환경 변수에서 공통 라이브러리 의 루트 폴더에 대한 경로를 제공합니다. 준수 기본 이미지에 빌드된 스크립트에 액세스하려면 필요한 스크립트 폴더와 함께 COMMONS_PATH 변수를 사용하십시오.

source "${COMMONS_PATH}/<script folder in commons>/<script file name>

CD 파이프라인의 다양한 단계를 요약하는 단계 및 태스크 표를 참조하십시오. 이 테이블은 또한 스테이지에 기본 참조 구현이 있는지 여부, 스테이지를 사용자 정의하거나 건너뛸 수 있는지 여부 또는 스테이지 실행에 필요한 명시적 증거 콜렉션이 있는지 여부에 대한 통합 정보를 제공합니다.

환경 특성

DevSecOps 파이프라인은 사전 정의된 환경 특성 과 함께 제공되지만 필요한 만큼 많은 사용자 정의 특성을 추가할 수 있습니다. get_env 명령 을 사용하여 스크립트에서 이러한 특성 값에 액세스할 수 있습니다.

특성 및 해당 선택적 기본값을 파이프라인 또는 트리거에 추가한 후에는 스크립트에서 get_env 명령을 사용하여 특성의 값을 검색하십시오. 다음 예제는 my-variable 특성의 값을 검색합니다.

MY_VARIABLE=$(get_env my-variable "")

set_env 명령 을 사용하여 스크립트에서 특성 값을 동적으로 대체할 수도 있습니다. 다음 예제는 my-variable 특성의 값을 대체합니다.

set_env my-variable new-value

스테이지 건너뛰기

일부 스테이지는 관련이 없을 수 있습니다. 예를 들어, Docker 이미지를 빌드하지 않거나 아직 적합성 테스트를 구현하지 않았을 수 있습니다. 스테이지를 건너뛰려는 경우 exit 0 를 포함하도록 .pipeline-config.yaml 파일을 편집하거나 skip 변수를 true 로 설정할 수 있습니다.

다음 예제는 exit 0 를 추가하여 스테이지를 건너뜁니다.

scan-artifact:
  image: icr.io/continuous-delivery/pipeline/pipeline-base-ubi:3.24
  dind: true
  dind_image: icr.io/continuous-delivery/toolchains/devsecops/docker:20.10.21-dind
  abort_on_failure: false
  image_pull_policy: IfNotPresent
  skip: false
  runAfter: null
  script: |
    #!/bin/sh

    exit 0
    "/opt/commons/scan-artifact/scan.sh"

DevSecOps 파이프라인의 Docker 이미지

기본적으로 DevSecOps 파이프라인은 IBM Continuous Delivery 이미지 를 사용합니다. 이러한 이미지에는 스크립트를 실행하기 위한 Node 및 Java 와 같은 가장 일반적인 도구 중 일부가 포함되어 있습니다. 다른 벤더의 이미지 또는 선호하는 도구를 포함하는 사용자 정의 이미지를 사용할 수도 있습니다.

DevSecOps 파이프라인에서 사용되는 Docker 이미지는 .pipeline-config.yaml 파일에 지정되어 있습니다. 각 스테이지는 다른 이미지를 사용할 수 있습니다.

scan-artifact:
  image: icr.io/continuous-delivery/pipeline/pipeline-base-ubi:3.24
  dind: true
  dind_image: icr.io/continuous-delivery/toolchains/devsecops/docker:20.10.21-dind
(...)