了解Security and Compliance Center與DevSecOps工具鏈整合後的結果
使用 IBM Cloud® Security and Compliance Center,您可以自動評估安全與合規狀態,以偵測漏洞。 透過使用DevSecOps範本啟用Security and Compliance Center集成,您可以儲存證據並監控部署的合規性。
每次執行「連續整合 (CI)」管線都會建立證明。 證明包括所執行作業的詳細資料,並儲存在 Git 儲存庫或 Object Storage 儲存區 (稱為證明櫃) 中。 依預設,會使用 Git 儲存庫,但如果您需要證明更耐用-例如,您需要較長的有效期限,則可以配置 Object Storage 儲存區。 同樣地,Continuous Delivery (CD) 管線會收集證明,以提供與接受測試、變更要求等相關之已執行作業的審核追蹤。 最重要的是,當部署完成時,Continuous Compliance (CC) 管線撰寫者會將所有個別證明片段聚集成證明摘要。 針對管線資料執行驗證測試時,您可以驗證在應用程式部署程序中執行各種最佳作法。
開始之前
檢視 Security and Compliance Center 所產生的結果,以確保您符合下列必要條件:
- 在 Security and Compliance Center中檢視結果並與結果互動所需的存取層次。 若要檢視結果,您必須具有 Security and Compliance Center 服務的 讀者 存取權。
- 已配置的管線。 如需配置管線以使用 Security and Compliance Center的說明,請參閱 配置 Security and Compliance Center。
檢視結果
若要檢視相符性評估的結果,請參閱 Security and Compliance Center 儀表板。
當DevSecOps管道與Security and Compliance Center互動時,資訊以兩種不同的方式收集。Security and Compliance Center會對應地將資訊推送或拉入儀表板。
取回資料模型
: 當 CI/CD 管線執行時,會建立 證明摘要 並命名為 summary.json。 此證明摘要會轉遞至證明櫃或儲存庫。 摘要中的每一個項目都會對映至 Security and Compliance Center中的控制項。
CD 證據摘要任務 - 根據在 Security and Compliance Center中建立附件時所設定的排程,服務會從櫃中取回資訊摘要,以評估並在 Security and Compliance Center 使用者介面中呈現結果。
- 推送資料模型
- 每次執行具有有效整合的 CD/CC 管線時,都會產生證明摘要並轉遞至 Security and Compliance Center 服務。 服務會評估並呈現在 Security and Compliance Center 儀表板中。 \n 從儀表板中,按一下您要檢視其結果的設定檔。 然後選擇「資源」標籤。 從這裡,按一下 其他詳細資料,以檢視其他資訊,例如在何處尋找支援文件。 例如,您可能會看到
pipeline-run evidence summary、toolchain、pipeline-run或devsec-scc-doc的鏈結。
根據控制項來對每一條資訊進行信息的信息信息信息信息信息信息信息信息信息信息信息信 對於每一個控制項,您會標示為 合規 或 不合規。 對於個別資源,視證明片段是否符合控制資格而定,狀態可能為 通過 或 失敗。 它也可能是 無法執行。 嘗試評估但沒有任何要評估的對應證明時,可以傳回此狀態; 作業可能已在 CI
管線中移除或跳過,或者使用 CD EMERGENCY 執行部署以置換證明失敗。
範例控制儀表板:
資源儀表板範例:
雖然可以部署具有不完美驗證的映像檔,但會在 Security and Compliance Center中報告檢驗。
下一步
若要探索 Security and Compliance Center中的工具鏈,您可以瞭解 Security and Compliance Center 文件 中的 管理範圍。