IBM Cloud Docs
DevSecOps 的发布说明

DevSecOps 的发布说明

使用发行说明了解 IBM Cloud DevSecOps 的最新更改。

2024 年 7 月 16 日

DevSecOps 版本的更新 - open-v9.35.0 和 open-v10.16.0

ZAP 升级
用于动态扫描的 ZAP 版本升级到 2.15 版。
gosec 图像升级
gosec 在静态扫描步骤中用于 Go 源代码安全扫描的图像已升级到 2.20.0 版本。
CVSS 分数
sysdig 扫描仪识别的合规性问题现在将包含 CVSS 分数。

2024 年 7 月 10 日

DevSecOps 版本的更新 - open-v9.34.1 和 open-v10.15.1

错误修订发行版
此发行版仅具有错误修订

DevSecOps 版本的更新 - open-v9.34.0 和 open-v10.15.0

秘密检测期间基线无效警告
如果提供了损坏/不兼容的基线文件,则添加检查以避免秘密扫描检测失败。 现在,如果检测秘密扫描发现基线文件与扫描仪不兼容,就会产生一个问题,用户需要纠正该问题才能继续扫描

DevSecOps 版本的更新 - open-v9.33.0 和 open-v10.14.0

错误修订发行版
此发行版仅具有错误修订

DevSecOps 版本的更新 - open-v9.32.0 和 open-v10.13.0

增强 CD/CC 流水线中的“必要证据检查”功能
发布所需证据验证配置文件的新模式(v2)。 有关使用新模式的文档,请参阅 这里
性能改进
当Cloud Object Storage(COS)作为一个流水线证据的证据锁定器时,流水线性能得到改善
支持 Sysdig 策略
添加了对 Sysdig 策略的支持。 根据应用的策略创建问题。

2024 年 6 月 18 日

DevSecOps 版本的更新 - open-v9.31.0 和 open-v10.12.0

部分推广库存文物
现在可以在促销期间促销库存物品的子集。 详见 https://cloud.ibm.com/docs/devsecops?topic=devsecops-cd-devsecops-promotion-pipeline#cd-devsecops-promotion-partial-promotion

2024 年 6 月 6 日

更新DevSecOps版本 -open-v9.30.0和open-v10.11.0

可以定制管道运行名称
现在可以将定制名称用于管道运行名称。 可使用环境属性 pipeline-display-name 提供定制管道运行名称
促销和促销-验证管道的定制完成阶段
为提升和提升验证管道添加了定制完成阶段,其中用户提供的脚本可以在完成阶段中执行以进行清除。 此工作类似于 CI,PR,CD 和 CC 管道中的完成阶段
必需的证据检查增强功能
增强了 cocoa locker evidence check 命令以支持版本 2 的配置模式。 更新后的配置模式允许用户通过提供名称和区域详细信息以及要针对给定应用程序环境或服务环境验证的所需证据集来指定应用程序环境或服务环境。
使用环境属性使代码风险分析器扫描成为可选项
添加了如下三个选择性加入环境属性,以提供选择性加入/退出 CRA 扫描的选项。 请参阅 https://cloud.ibm.com/docs/devsecops?topic=devsecops-cd-devsecops-cra-scans#optout-cra-scans
表 1. 环境属性参数
名称 类型 值集 必需或可选 管道 (PR/CI/CD/CC) 环境属性 缺省值 描述
cra-bom-generate enum 0 或 1 可选 CI/PR/CC 1 仅当此值设置为 1
cra-vulnerability-scan enum 0 或 1 可选 CI/PR/CC 1 仅当此值设置为 1 且 cra-bom-generate 设置为 1 时,才会执行 CRA 漏洞扫描。 如果此值设置为 1 并且 cra-bom-generate 设置为 0,那么此扫描将标记为失败
cra-deploy-analysis enum 0 或 1 可选 CI/PR/CC 1 仅当此值设置为 1

2024 年 5 月 9 日

更新DevSecOps版本 -open-v9.29.0和open-v10.10.0

clone_repo 脚本的修订
clone_repo 脚本现在报告克隆失败时的准确错误。
已除去更改请求的不需要的错误消息
已从日志中移除不适当的错误消息,以使用 gitlab 进行变更管理

更新DevSecOps版本 -open-v9.28.1和open-v10.9.1

错误修订发行版
此发行版仅具有错误修订

2024 年 4 月 18 日

更新DevSecOps版本 -open-v9.27.0和open-v10.8.0

Sysdig 安全工具使用新的漏洞引擎
Sysdig 安全工具集成现在使用新的漏洞引擎DevSecOps。
CC 管道中同行评审的证据
CC 管道现在将收集证据以进行同级复审验证。
eu-es 区域的支持
DevSecOps工具链支持 eu-es 地区。

更新DevSecOps版本 -open-v9.26.0和open-v10.7.0

CD 完成任务的行为不正确
先前,CD 完成任务具有不同的行为。 现在已解决此问题。

更新DevSecOps版本 -open-v9.25.1和open-v10.6.2

已除去环境属性 IAM_ACCESS_TOKEN
此发行版中已废弃环境属性 IAM_ACCESS_TOKEN
如果验证证书不可用,那么将收集失败的证据
在工件验证阶段,如果验证证书不可用- DevsecOps 收集失败的证据。

更新DevSecOps版本 -open-v10.6.1

支持开发方式 cd 管道中的内联回滚
将更新 cd 管道的开发方式以支持内联回滚。

更新DevSecOps版本 -open-v9.25.0和open-v10.6.0

支持内联回滚 (如果存在部署失败)
现在,持续部署支持在部署失败时进行内联回滚。 有关更多信息,请参阅 内联回滚
不推荐使用的环境属性 IAM_ACCESS_TOKEN
不推荐使用环境属性 IAM_ACCESS_TOKEN。 如果用户需要此令牌,那么可以使用 get_env iam-access-token 进行检索。
能够以 Docker 方式和非 docker 方式运行 detect-secrets 工具
通过将 detect-secrets-docker 定义为 0,可以在非 Docker 方式下运行 detect-secrets 工具。 缺省情况下,detect-secrets 以 Docker 方式运行。

2024 年 3 月 21 日

更新DevSecOps版本 -open-v9.24.0和open-v10.5.0

支持 Devsecops IaC 中的复杂 tfvars 格式
现在支持 JSON 格式的 tfvars 参数。
证据摘要中发现问题时的豁免状态
证据摘要现在指示检测到的问题的免除状态。

更新DevSecOps版本 -open-v9.23.8和open-v10.4.8

回退到 .pipeline-config.yaml 中阶段参数的缺省值
.pipeline-config.yaml 中,如果未将所有阶段参数指定到专用阶段,那么这些参数将回退到 defaults.yaml

2024 年 2 月 22 日

更新DevSecOps版本 -open-v9.23.7和open-v10.4.7

必需的映像签名验证
映像签名验证对于部署是必需的。
松弛中的 :status-yellow: 图标
在 Slack 通知中添加了新的警告图标 :status-yellow:

更新DevSecOps版本 -open-v9.23.6和open-v10.4.6

管道阶段的验证
在管道启动时,将针对必需的可选阶段配置对管道阶段进行验证。

2024 年 1 月 24 日

从 SNYK 切换到 Clair 数据库
代码风险分析器工具现在使用 Clair 数据库来识别漏洞。
除去 pipeline.data
pipeline.data(用于在管道中共享环境变量) 不再可用。
预生产证据收集
根据 FedRAMP 需求,预生产变更请求必须链接到生产变更请求,并且预生产证据应包含在请求摘要的生产变更中。 为了满足这些需求,我们开发了一个新功能来收集生产前证据。 有关更多信息,请参阅 收集证据摘要
SLSA 认证
现在,您可以使用 SLSA 级别 3 认证来验证 CI 管道中构建的映像。 有关更多信息,请参阅 配置映像的 SLSA 认证集合
多个资产的收集证据
现在,您可以收集多个资产的证据。 有关更多信息,请参阅 收集证据中的多个资产
支持 Security and Compliance Center 推送 API
现在,您可以将结果推送到 Security Control Center。 有关更多信息,请参阅 Security and Compliance Center 集成文档

2023 年 12 月 8 日

  • 具有错误的部署的淡黄色状态-现在,使用红色证据部署手动核准的 CR 将显示淡黄色状态。

  • 证据收集的批处理-在管道运行期间,所有证据都将以本地方式收集到管道中,并在管道运行结束时继续。 此过程可提高性能。 有关更多信息,请参阅 批处理证据收集

2023 年 10 月 30 日

  • 管道中各个阶段的隔离工作区-提供了指向特定于阶段的位置的新环境属性 $STAGE_WORKSPACE。 写入此位置的任何数据仅可供本阶段访问,其他阶段仍无法访问。

  • 独立阶段以运行检测-私钥扫描-通过在合规性检查的同时运行检测私钥任务,可能会有私钥泄漏到容器注册表或开发集群中。 为了避免这种情况,detect-secret 现在是一个单独的阶段,如果检测到任何私钥,那么管道将失败。 有关更多信息,请参阅 配置 detect-secret 扫描

  • 能够跳过 open-v10中的阶段-用户可以通过在 pipeline-config.yaml 中定义 skip: true 来跳过管道阶段

  • 能够按特定顺序配置阶段-用户可以通过定义 runAfter: <task name> 来指定顺序。 这将使当前任务等待上一个任务完成,即使这两个任务都调度为同时运行也是如此

  • 并发执行DevSecOps管道阶段- devsecops 管道已重组,可以同时运行独立阶段。 这将大大加快整个管道运行速度。 有关更多信息,请参阅 使用并发任务提高合规性管道性能

  • 验证 SBOM-缺省情况下验证 SBOM。

  • 在 CI 管道的静态扫描阶段中添加 GoSec 工具- GoSec 安全扫描已集成到 Go 应用程序的合规性检查阶段。 有关更多信息,请参阅 配置 GoSec 扫描

  • 添加对等复审阶段-添加了新的对等复审阶段,以验证是否已对集成分支中的所有落实执行了对等复审。 有关更多信息,请参阅 同行评审合规性

  • 支持管理非基于映像的资产-管道支持开发任何类型的通用资产。例如,tar,zip 等。

  • 在 CI 管道的工件扫描阶段中添加 SysDig 工具扫描-用于扫描容器映像的集成 Sysdig 安全工具。 有关更多信息,请参阅 配置 Sysdig 图像扫描

  • 可定制完成阶段-修改了管道的最后一个阶段以始终运行,而不考虑管道状态,并添加了在最后一个阶段中具有可定制步骤的功能,以便在管道发生故障时使用内务处理。 有关更多信息,请参阅 定制完成阶段

  • 添加了新管道以执行库存 PR 验证-已创建新管道以在 CD 工具链中淘汰库存 PR 验证。 有关更多信息,请参阅 如何选择性加入促销验证?

  • 使用 CC 管道中的 CRA 自动修复漏洞-添加了使用 CRA 自动修复漏洞的功能。 有关更多信息,请参阅 自动修复漏洞

  • 以 cyclonedx 格式生成 SBOM 并对其进行验证-添加了使用 cyclonedx 格式生成和合并 SBOM 的功能,并且还使用 sbom-utility 工具对 bom 进行了验证。 有关更多信息,请参阅 以 cyclonedx 格式生成软件材料清单(SBOM)

  • 证据修剪器-已开发新工具以在特定时间之前修剪较旧的证据。 有关更多信息,请参阅 除去在指定时间之前生成的合规性证据

2023 年 1 月 31 日

  • 验证库存促销拉取请求-提供合并促销 PR 时库存进入的新状态的证据汇总和汇总。 聚集涉及来自负责库存更新的所有 CI 管道的证据收集和汇总。 该功能部件在将 PR 合并到目标分支 (环境) 之前提供库存提升的早期验证。 根据 PR 的状态,您可以继续执行促销 (当所有证据结果都为 GREEN 时),或者在 CI 管道中修正证据 (当证据在 RED 中标记时),然后再继续执行促销 PR 合并。 有关更多信息,请参阅 促销管道

  • 支持 Git 子模块克隆-增强 CI 管道为引用子模块的应用程序存储库克隆 Git 子模块的能力。 有关更多信息,请参阅 配置 git 子模块的克隆

  • 阻止 CI 管道更新 RED 构建的库存-使其能够检测 CI 管道中的故障并阻止管道更新库存。 有关更多信息,请参阅 持续集成参数

2022 年 12 月 7 日

DevSecOps基础设施即代码的持续集成可作为工具链目录中的工具链模板使用。 有关详细信息,请参阅For more information, see 开发和部署安全IaC和DevSecOps实践

2022 年 11 月 30 日

  • CRA 扫描现在是 CI 管道中 app-preview-pr-listener 的一部分。
  • Cocoa Tekton get-pipeline-logs 支持拉取特定阶段的日志。
  • 修复了库存存储库中不存在的目标分支的格式不正确的 Git GraphQL URL。

2022 年 10 月 25 日

  • CRA 问题解析器现在包含在创建扫描期间发现的新问题时的 引入者 字段。
  • 改进了错误日志记录,以在 CD 管道中调试长时间运行的提升请求。

5 2022 年 10 月

  • Amber 任务支持管道,用于通知用户管道发生非致命故障。
  • CD 管道更改请求流中的性能改进。

2022 年 9 月 16 日

  • 为尝试管道运行的 Vulnerability Advisor (VA) 扫描数添加了 retry_sleep 环境属性。
  • 改进了日志消息,使证据状态更清晰。 例如,Evaluated evidence status: <success|failure|pending>

2022 年 8 月 11 日

  • 使用 GitLab 中的本机到期日期字段来管理问题。
  • 添加了 custom-exempt-label 作为环境属性,因此如果管道具有匹配的豁免标签,那么不会将这些管道标记为失败。
  • 已修复 Cloud Object Storage 作为 CC 管道的证据锁定程序。

2022 年 7 月 25 日

  • 上载 Security and Compliance Center的持续合规性证据摘要。

2022 年 6 月 24 日

  • 已针对持续合规性 (CC) 模板启用 DevOps Insights 集成。

如果您有现有的 CC 工具链,您可以设置 doi-toolchain-iddoi-environment 通过链接现有的 Insights 工具集成,DevSecOps持续集成(CI)工具链。

  • 添加 标签 到DevSecOps管道脚本在 Insights 用户界面中可视化持续合规扫描结果。
  • Insights 质量仪表板 中显示动态扫描结果。
  • 改进了管道评估程序任务的消息日志记录,以便用户可以更好地了解管道运行失败或成功的原因。

2022 年 6 月 17 日

在生成的变更请求中附加的部署 BOM 缺少与库存中的工件相关的信息。 现在包含此信息。

2022 年 5 月 19 日

  • 在启用 Slack 工具集成后,使用 Slack 向用户通知已接近到期日期和逾期到期日期的事件问题。
  • 在合规管道中使用 Code Risk Analyzer 生成“软件材料清单”时,支持 cyclonedx 格式。

2022 年 5 月 13 日

添加了对 事件问题 的 Continuous Integration 和 Continuous Compliance 管道的支持,例如与创建,存储,更新和关闭这些问题相关的漏洞和 CVE。 通过此功能,您可以设置问题的到期日期,添加缺省受托人以及使用标签过滤问题。

2022 年 3 月 24 日

介绍IBM CloudDevSecOps

DevSecOps是一种将安全实践与软件开发和运营生命周期相结合的方法。 合并的目标是优先考虑发展速度和安全性的平衡。

  • 新的 Continuous Compliance 模板,用于定期扫描已部署的应用程序代码。
  • 支持使用异步管道的 Zap 动态扫描。
  • 支持跟踪在合规性管道中运行的缺省脚本的源。
  • 突发事件问题支持基于问题严重性的“到期日期”字段。
  • 对 Continuous Compliance 管道创建的问题进行格式化,以提高可读性。
  • 支持禁用使用可选环境属性的静态和动态扫描。
  • 更新了 IBM Cloud Object Storage 工具集成 UI,以便于设置。
  • 支持在设置 CC 和 CD 工具链时从库存存储库中查询环境标记。
  • 用于定制欢迎页面的新向导支持。

在 Continuous Compliance 管道中不支持 IBM Cloud® DevOps Insights。 此外,对于针对多个开箱即用应用程序触发动态扫描的支持也很有限。

2022 年 3 月 16 日

  • 增强型DevSecOps将 CRA 结果发布到管道代码DevOps Insights包括 BOM、漏洞和部署记录。
  • 添加了对可选 CRA 插件参数 --dockerfilepattern 的支持。