Melhorar o desempenho do pipeline de conformidade no DevSecOps
Ative a simultaneidade para garantir que as tarefas do pipeline sejam executadas simultaneamente nas cadeias de ferramentas DevSecOps.
Antes de Iniciar
Use os trabalhadores gerenciados pela IBMou os trabalhadores gerenciados pelo TAAS diretamente, pois essa é a etapa de pré-requisito
Para usar trabalhadores privados, assegure-se de que o pipeline dos nós do trabalhador deve ser Tekton versão v0.45 ou mais recente. Para obter mais informações, consulte Instruções de Instalação
Ativando simultaneidade em DevsecOps
Para ativar a simultaneidade no DevsecOps, siga as etapas a seguir:
- Acesse a página Acionadores de seu pipeline de PR ou CI ou CD ou CC
- Clique no ícone Ações
na entrada do repositório e clique em Editar. - Atualize a ramificação para
open-v10e clique em Atualizar.
Estrutura de pipeline de PR
O pipeline de PR executa verificações de conformidade em uma solicitação pull para um determinado repositório de aplicativos e atua como uma proteção para mesclar na ramificação principal O pipeline de RC é acionado pela abertura ou atualização de uma solicitação pull com relação à ramificação principal
Para obter mais informações, consulte a documentação do pipeline de RC
| Estágio de pipeline de RC | Descrição do estágio |
|---|---|
code-pr-start |
Clone o repositório GitHub em associação com a solicitação pull. |
code-setup |
Configure seu ambiente de construção e de teste para preparar o restante dos estágios de pipeline |
code-detect-secrets |
É executado para detectar a varredura de segredos no código do aplicativo |
code-unit-tests |
Executa o teste de unidade para o código associado à RC. |
code-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
code-pr-finish |
Consolida o status do pipeline O estágio falhará se as verificações de conformidade de execução anteriores falharem Esse estágio é o comportamento "fail-safe" para assegurar que problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada e / ou uma construção possa ser implementada. |
Estrutura de pipeline de CI. de
O pipeline de IC constrói artefatos implementáveis de repositórios de aplicativos. Ele varre, testa e assina artefatos construídos enquanto também coleta evidências em cada estágio a ser liberado no inventário e controlado por meio do gerenciamento de implementação e mudança.
Para obter mais informações, consulte a documentação do pipeline de IC
| Estágio de pipeline de IC | Descrição do estágio |
|---|---|
code-ci-start |
Configure o ambiente de pipeline, incluindo a cópia dos repositórios de configuração e de aplicativo para o sistema de arquivos local de pipeline |
code-setup |
Configure seu ambiente de construção e de teste para preparar o restante dos estágios de pipeline |
code-detect-secrets |
Executa varredura de segredos de detecção no código do aplicativo. |
code-unit-tests |
Execução de testes de unidade e testes de aplicação no código de aplicação. |
code-peer-review |
Revisão por pares de mudanças de código |
code-static-scan |
Execute uma verificação estática no código do aplicativo. |
code-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
build-artifact |
Construir os artefatos e imagens. |
build-sign-artifact |
Assinar artefatos e imagens construídos. |
build-scan-artifact |
Varra a imagem de contêiner com o Vulnerability Advisor. |
deploy-dev |
Implementação dos artefatos construídos no ambiente de desenvolvimento |
code-dynamic-scan |
Executa a varredura dinâmica do OWASP-Zap no aplicativo implementado em um cluster. |
deploy-acceptance-tests |
Execução de testes de aceitação e integração nos artefatos de construção implementados no ambiente de desenvolvimento. |
deploy-release |
Inclua os artefatos construídos no inventário que será usado pelo pipeline Continuous Delivery. |
code-ci-finish |
Coleta, criação e upload dos arquivos de log, artefatos e evidências, colocando-os no armazenamento de evidências. Se qualquer uma das verificações de conformidade.. A execução anterior no pipeline falhou, esse estágio falhou.. Esse estágio é o comportamento "fail-safe" para assegurar que os problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada, uma construção seja implementada ou quando ambos. |
estrutura do pipeline de CI
Estrutura do pipeline CD
O pipeline de CD compila todo o conteúdo para evidência e o resumo da solicitação de mudança Ele implementa a construção em um ambiente, como preparação ou produção, enquanto faz upload de todas as evidências para o armário de evidências.
Para obter mais informações, consulte a documentação do pipeline do CD
| Estágio do pipeline de CD | Descrição do estágio |
|---|---|
prod-start |
Calcular delta de implementação |
prod-setup |
Configure a construção e o ambiente de teste |
prod-verify-artifact |
Verifica as assinaturas de imagens que são construídas no pipeline de IC |
prod-change-request |
Criação e aprovação de solicitação de mudança e estado de implementação |
prod-deployment |
Implementar a construção em um ambiente. |
prod-acceptance-tests |
Execute os testes de aceitação |
prod-finish |
Publique testes de aceitação, implemente o registro, colete o SBOM CycloneDX e feche a solicitação de mudança. |
Estrutura do pipeline CC
O pipeline CC executa varreduras periódicas em artefatos implementados e seus repositórios de origem. Ele varre o estado implementado mais recente no inventário e cria ou atualiza problemas de incidentes no repositório de incidentes
Para obter mais informações, consulte Documentação do pipeline CC
| Estágio de Pipeline CC | Descrição do estágio |
|---|---|
cc-start |
Clonar repositório, processar inventário com base na tag e registrar repositórios e artefatos |
cc-setup |
Configure o ambiente de pipeline para as varreduras em estágios mais recentes Isso pode incluir a instalação de dependências de construção ou a execução de construções do Maven |
cc-detect-secrets |
Executa para varrer e detectar segredos em um código do aplicativo |
cc-static-scan |
Execute o código de verificação estática no código do aplicativo |
cc-dynamic-scan |
Executa a varredura dinâmica do OWASP-Zap no aplicativo implementado em um cluster |
cc-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
cc-scan-artifact |
Varra a imagem de contêiner com o Vulnerability Advisor. |
cc-finish |
Coleta, criação e upload dos arquivos de log, artefatos e evidências, colocando-os no armazenamento de evidências. Se qualquer uma das verificações de conformidade executadas anteriormente no pipeline falhar, esse estágio falhará Esse estágio tem um comportamento "fail-safe" para assegurar que problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada e / ou uma construção possa ser implementada. |
Estruturas de pipeline do modo de desenvolvimento
Os pipelines do modo de desenvolvimento são usados apenas para testar o pipeline
Falta-lhes as seguintes funções:
- Coleta de evidências
- Com base em evidências.
Estruturas de pipeline de modo de desenvolvimento não prontas para produção.
Desativando simultaneidade em DevsecOps
Para desativar a simultaneidade no DevsecOps, execute as seguintes etapas:
- Acesse a página Acionadores de seu pipeline de RC ou IC ou CC
- Clique no ícone Ações na entrada do repositório e selecione Editar.
- Atualize a ramificação para
open-v9e selecione Atualizar.