Melhorar o desempenho do pipeline de conformidade no DevSecOps
Habilite a simultaneidade para garantir que as tarefas do pipeline sejam executadas simultaneamente em cadeias de ferramentas d DevSecOps.
Antes de Iniciar
Use os trabalhadores gerenciados pela IBMou os trabalhadores gerenciados pelo TAAS diretamente, pois essa é a etapa de pré-requisito
Para usar trabalhadores privados, assegure-se de que o pipeline dos nós do trabalhador deve ser Tekton versão v0.45 ou mais recente. Para obter mais informações, consulte Instruções de Instalação
Ativando simultaneidade em DevsecOps
Para ativar a simultaneidade no DevsecOps, siga as etapas a seguir:
- Acesse a página Acionadores de seu pipeline de PR ou CI ou CD ou CC
- Clique no ícone Ações
na entrada do repositório e clique em Editar. - Atualize a ramificação para
open-v10e clique em Atualizar.
Estrutura de pipeline de PR
O pipeline de PR executa verificações de conformidade em uma solicitação pull para um determinado repositório de aplicativos e atua como uma proteção para mesclar na ramificação principal O pipeline de RC é acionado pela abertura ou atualização de uma solicitação pull com relação à ramificação principal
Para obter mais informações, consulte a documentação do pipeline de RC
| Estágio de pipeline de RC | Descrição do estágio |
|---|---|
code-pr-start |
Clone o repositório GitHub em associação com a solicitação pull. |
code-setup |
Configure seu ambiente de construção e de teste para preparar o restante dos estágios de pipeline |
code-detect-secrets |
É executado para detectar a varredura de segredos no código do aplicativo |
code-unit-tests |
Executa o teste de unidade para o código associado à RC. |
code-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
code-pr-finish |
Consolida o status do pipeline O estágio falhará se as verificações de conformidade de execução anteriores falharem Esse estágio é o comportamento "fail-safe" para assegurar que problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada e / ou uma construção possa ser implementada. |
Estrutura de pipeline de CI. de
O pipeline de IC constrói artefatos implementáveis de repositórios de aplicativos. Ele varre, testa e assina artefatos construídos enquanto também coleta evidências em cada estágio a ser liberado no inventário e controlado por meio do gerenciamento de implementação e mudança.
Para obter mais informações, consulte a documentação do pipeline de IC
| Estágio de pipeline de IC | Descrição do estágio |
|---|---|
code-ci-start |
Configure o ambiente de pipeline, incluindo a cópia dos repositórios de configuração e de aplicativo para o sistema de arquivos local de pipeline |
code-setup |
Configure seu ambiente de construção e de teste para preparar o restante dos estágios de pipeline |
code-detect-secrets |
Executa varredura de segredos de detecção no código do aplicativo. |
code-unit-tests |
Execução de testes de unidade e testes de aplicação no código de aplicação. |
code-peer-review |
Revisão por pares de mudanças de código |
code-static-scan |
Execute uma verificação estática no código do aplicativo. |
code-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
build-artifact |
Construir os artefatos e imagens. |
build-sign-artifact |
Assinar artefatos e imagens construídos. |
build-scan-artifact |
Varra a imagem de contêiner com o Vulnerability Advisor. |
deploy-dev |
Implementação dos artefatos construídos no ambiente de desenvolvimento |
code-dynamic-scan |
Executa a varredura dinâmica do OWASP-Zap no aplicativo implementado em um cluster. |
deploy-acceptance-tests |
Execução de testes de aceitação e integração nos artefatos de construção implementados no ambiente de desenvolvimento. |
deploy-release |
Inclua os artefatos construídos no inventário que será usado pelo pipeline Continuous Delivery. |
code-ci-finish |
Coleta, criação e upload dos arquivos de log, artefatos e evidências, colocando-os no armazenamento de evidências. Se qualquer uma das verificações de conformidade.. A execução anterior no pipeline falhou, esse estágio falhou.. Esse estágio é o comportamento "fail-safe" para assegurar que os problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada, uma construção seja implementada ou quando ambos. |
estrutura do pipeline de CI
Estrutura do pipeline CD
O pipeline de CD compila todo o conteúdo para evidência e o resumo da solicitação de mudança Ele implementa a construção em um ambiente, como preparação ou produção, enquanto faz upload de todas as evidências para o armário de evidências.
Para obter mais informações, consulte a documentação do pipeline do CD
| Estágio do pipeline de CD | Descrição do estágio |
|---|---|
prod-start |
Calcular delta de implementação |
prod-setup |
Configure a construção e o ambiente de teste |
prod-verify-artifact |
Verifica as assinaturas de imagens que são construídas no pipeline de IC |
prod-change-request |
Criação e aprovação de solicitação de mudança e estado de implementação |
prod-deployment |
Implementar a construção em um ambiente. |
prod-acceptance-tests |
Execute os testes de aceitação |
prod-finish |
Publique testes de aceitação, implemente o registro, colete o SBOM CycloneDX e feche a solicitação de mudança. |
Estrutura do pipeline CC
O pipeline CC executa varreduras periódicas em artefatos implementados e seus repositórios de origem. Ele varre o estado implementado mais recente no inventário e cria ou atualiza problemas de incidentes no repositório de incidentes
Para obter mais informações, consulte Documentação do pipeline CC
| Estágio de Pipeline CC | Descrição do estágio |
|---|---|
cc-start |
Clonar repositório, processar inventário com base na tag e registrar repositórios e artefatos |
cc-setup |
Configure o ambiente de pipeline para as varreduras em estágios mais recentes Isso pode incluir a instalação de dependências de construção ou a execução de construções do Maven |
cc-detect-secrets |
Executa para varrer e detectar segredos em um código do aplicativo |
cc-static-scan |
Execute o código de verificação estática no código do aplicativo |
cc-dynamic-scan |
Executa a varredura dinâmica do OWASP-Zap no aplicativo implementado em um cluster |
cc-compliance-checks |
O Code Risk Analyzer (CRA) e o Mend Unified Agent varrem a detecção de vulnerabilidade em dependências de software livre e qualquer outra verificação de conformidade em repositórios de aplicativos. |
cc-scan-artifact |
Varra a imagem de contêiner com o Vulnerability Advisor. |
cc-finish |
Coleta, criação e upload dos arquivos de log, artefatos e evidências, colocando-os no armazenamento de evidências. Se qualquer uma das verificações de conformidade executadas anteriormente no pipeline falhar, esse estágio falhará Esse estágio tem um comportamento "fail-safe" para assegurar que problemas de conformidade sejam corrigidos antes que uma RC possa ser mesclada e / ou uma construção possa ser implementada. |
Estruturas de pipeline do modo de desenvolvimento
Os pipelines do modo de desenvolvimento são usados apenas para testar o pipeline
Falta-lhes as seguintes funções:
- Coleta de evidências
- Com base em evidências.
Estruturas de pipeline de modo de desenvolvimento não prontas para produção.
Desativando simultaneidade em DevsecOps
Para desativar a simultaneidade no DevsecOps, execute as seguintes etapas:
- Acesse a página Acionadores de seu pipeline de RC ou IC ou CC
- Clique no ícone Ações na entrada do repositório e selecione Editar.
- Atualize a ramificação para
open-v9e selecione Atualizar.