DevSecOps 参考实现工作流程

DevSecOps 参考体系结构通过使用构建块 (例如，Tekton 任务库和工具链模板) 来简化合规性和审计就绪性。

由于持续集成，持续部署和持续合规流程已标准化，因此应用程序开发团队可以确保他们遵循安全最佳实践。 DevSecOpsA methodology that integrates security practices with the software development and operations lifecycle. The goal of the merge is to prioritize the balance of development speed and security. 参考体系结构提供了一组预定义的持续集成，持续部署和持续合规性工具链模板。 这些模板使用一组工具集成和可定制的参考 Tekton 管道，用于构建，扫描，测试，变更管理和部署。 除非在创建工具链时更改缺省设置，否则管道定义由 IBM 定期进行管理和更新。

Tekton 管道提供了一个定制脚本框架，您可以使用此框架来确保代码和配置更改的合规性和自动化编排。 这些管道还可以帮助维护 GitOps 发布库存，同时收集并存储可用于生成可审计变更请求的证据。

您可以使用管道通过 Tekton 专用管道工作程序来部署到公共云或混合目标环境。 Tekton 管道与一些用户脚本一起在预定义的容器映像中运行。 您可以在 Tekton 管道的边界内运行任何可脚本化的内容。

Shift-left 持续集成，持续部署设计

下图显示了 DevSecOps 体系结构的实现工作流程和主要功能。

• 拉取或合并请求验证使用将状态回传到拉取请求的特定拉取请求管道。 此功能允许开发者在开发周期早期发现问题。
• 通过使用连续集成管道来实现集成，该管道实现许多现成可用的控件，并在证据存储库 (存储库) 中收集这些集成的规范化证据。 它还会在要部署到工件库存存储库中的工件上写入元数据，这将启用 GitOps 实践。
• 通过使用持续部署管道来处理工件库存中的内容并收集证据以生成每个部署的变更请求来执行交付。 它还可以在 Security and Compliance Center中记录合规性事实，并且可以根据合规性概要文件评估这些事实。

作为持续部署登台部署的一部分，持续集成管道通常通过使用拉取请求将更改提升到登台分支来向库存主分支发出。 然后，在准备就绪时，将通过后续分支提升将更改从登台升级到生产。 要推动协调发布部署，您可以具有多个输出到共享库存和证据存储库的连续部署管道。

提升该库存中的多个工件时，仅会创建一个变更请求。

您可以具有多个从共享库存和证据存储库中提取的连续部署管道，这使多个环境能够从同一连续集成输入中设定目标。