在将 Security and Compliance Center 与 DevSecOps 工具链集成后了解结果
通过 IBM Cloud® Security and Compliance Center,您可以自动评估安全性和合规性态势以检测漏洞。 通过使用 DevSecOps 模板启用 Security and Compliance Center 集成,您可以存储证据并监视部署以实现合规性。
每次持续集成 (CI) 管道运行都会创建证据。 证据包括执行的操作的详细信息,并保存在 Git 存储库或 Object Storage 存储区 (称为证据锁定程序) 中。 缺省情况下,将使用 Git 存储库,但如果您需要更持久的证据 (例如,需要更长的生命周期),那么可以配置 Object Storage 存储区。 同样,Continuous Delivery (CD) 管道收集证据,以提供与验收测试,变更请求等相关的已执行任务的审计跟踪。 最重要的是,当部署完成时,“持续合规性”(CC) 管道会将所有单独的证据片段聚集到证据摘要中。 针对管道数据运行验证测试时,您可以验证在应用程序部署过程中是否执行了各种最佳实践。
准备工作
查看 Security and Compliance Center 生成的结果,以确保满足以下先决条件:
- 在 Security and Compliance Center中查看结果并与结果进行交互所需的访问级别。 要查看结果,您必须具有对 Security and Compliance Center 服务的 读者 访问权。
- 已配置的管道。 有关配置管道以使用 Security and Compliance Center的帮助,请参阅 配置 Security and Compliance Center。
查看结果
要查看一致性评估的结果,请参阅 Security and Compliance Center 仪表板。
当 DevSecOps 管道与 Security and Compliance Center进行交互时,将以两种不同的方式收集信息。Security and Compliance Center 相应地将信息推送或拉入仪表板。
拉取数据模型
: 当 CI/CD 管道运行时,将创建名为 summary.json 的 证据摘要。 此证据摘要将转发到证据锁定程序或存储库。 摘要中的每个条目都映射到 Security and Compliance Center中的控件。
图 2。 CD 证据摘要任务 - 根据在 Security and Compliance Center中创建附件时设置的调度,服务会从锁定程序中拉取信息摘要,以在 Security and Compliance Center UI 中评估并显示结果。
- 推送数据模型
- 每次运行具有有效集成的 CD/CC 管道时,都会生成证据摘要并将其转发到 Security and Compliance Center 服务。 该服务将在 Security and Compliance Center 仪表板中进行评估和显示。 \n 在仪表板中,单击要查看其结果的概要文件。 然后,选择 资源 选项卡。 在其中,单击 其他详细信息 以查看更多信息,例如,在何处可找到支持文档。 例如,您可能会看到指向
pipeline-run evidence summary,toolchain,pipeline-run或devsec-scc-doc的链接。
针对控件规避每个信息,并提供状态。 对于每个控件,您将被标记为 合规 或 不合规。 对于个别资源,状态可能为 通过 或 失败,具体取决于证据片段是否满足控制资格。 也可能是 无法执行。 当尝试进行评估但没有任何相应的证据进行评估时,可以返回此状态; 可能已在 CI 管道中除去或跳过任务,或者通过使用 CD EMERGENCY 来执行部署以覆盖证据失败。
示例控制仪表板:
示例资源仪表板:
虽然可以部署具有不完美验证的映像,但会在 Security and Compliance Center中报告这些映像的检查。
后续步骤
要浏览 Security and Compliance Center中的工具链,您可以在 Security and Compliance Center 文档 中了解 管理作用域。