持续集成工具链的最佳实践

持续集成 (CI) 工具链DevSecOps的实施遵循了这些实践。

• 在应用程序源代码库中运行静态代码扫描仪，检测应用程序源代码中的秘密和作为应用程序依赖程序使用的易受攻击软件包。
• 在每次 Git 提交时构建容器镜像，并根据构建编号、时间戳和提交 ID 设置标签，以实现可追溯性。
• 在创建映像前测试 Dockerfile。
• 将构建的图像存储在私人图像注册表中。
• 通过使用 API 标记撤销，自动为目标群集部署配置访问权限。
• 扫描容器映像，查找安全漏洞。
• 成功完成后会添加 Docker 签名。
• 自动将内置图片标记插入部署清单。
• 在群集中使用一个显式命名空间来隔离每个部署（kubectl delete namespace 命令）。
• 自动构建、验证和部署合并到目标 Git 版本库分支的任何代码到 Kubernetes 集群。