在您的应用软件开发周期中实现持续合规性
利用 DevSecOps 在企业应用程序开发生命周期的每个阶段自动集成安全性可解决出现的安全问题,从而使这些问题更容易,更快且成本更低。 通过使用 DevSecOps Application Lifecycle Management 可部署体系结构,您可以利用使用 DevSecOps 的两个主要优点,即速度和安全性。
在整个开发周期中,将对代码进行复审,扫描和测试以查找安全问题。 这种集成安全性使您的团队能够及早发现问题,减少重复复审和不必要的重建,从而更快地交付更安全的代码。 由于 DevSecOps 将漏洞扫描和修补集成到开发和发布周期中,因此提高了识别和修补常见漏洞和风险 (CVE) 的能力。 这限制了威胁参与者必须利用面向公共的生产系统中的漏洞的窗口。 此外,还包含对生产中的应用程序进行定期扫描的持续合规性。
实施自动化扫描和测试可以确保合并的软件依赖关系处于适当的补丁级别,并确认软件通过安全单元测试。 此外,它还可以通过静态和动态分析来测试和验证代码以实现安全性。 扫描结果的证据将作为自动变更管理过程的一部分安全地存储,收集和摘要,在将变更提升到生产之前,该过程会检测到部署。
请查看以下部分,以获取有关使用 IBM Cloud DevSecOps 工具确保应用程序开发生命周期安全的基本步骤的概述。
设置安全软件开发体系结构
DevSecOps Application Lifecycle Management 可部署体系结构简化了通过使用一组持续集成 (CI),持续部署 (CD) 和持续合规性 (CC) 工具链模板来设置安全软件供应链的过程。 这些模板使用一组工具集成和可定制的参考 Tekton 管道,用于构建,扫描,测试,变更管理和部署应用程序。
Tekton 管道提供了一个定制脚本框架,您可以使用该框架来确保代码和配置更改的合规性和自动化编排。 管道维护 GitOps 发布库存,同时收集和存储可用于生成可审计变更请求的证据。 此外,持续合规性管道会定期扫描已部署的工件和关联的源代码存储库以查找漏洞。
有关配置可部署体系结构以满足您的需求的更多信息,请参阅 DevSecOps 部署指南。 您可以使用 项目 在所有应用程序开发环境中部署此体系结构,以便开发团队可以通过及早识别安全风险和风险来采用左移方法,以便在代码到达生产环境之前解决这些风险和风险。
确保持续遵守 CC 管道
CI/CD 管道确保团队开发的应用程序代码是安全的,并且在将代码推送到生产之前没有漏洞。 一旦您的代码到达生产环境,您就可以使用 CC 管道持续扫描生产代码以查找新的漏洞。 可以使用触发器手动或定期触发 CC 管道。
CC 管道将扫描现有已部署工件及其源存储库,而不依赖于您的部署调度。 它对应用程序源代码运行静态扫描和动态扫描,检测 Git 存储库中的私钥,材料清单 (BOM) 检查,CIS 检查和 Vulnerability Advisor 扫描。
管理问题并收集要审计就绪的证据
在对工件和源存储库进行扫描和运行检查之后,管道将创建新的突发事件问题或更新突发事件存储库中的现有突发事件问题。 最后,使用这些问题和结果,管道收集证据并汇总证据。 证据将报告给 IBM Cloud Security and Compliance Center,并包含在自动更改 rquest 文档中。
从 CI 和 CC 管道报告两种类型的问题: 突发事件问题和非突发事件问题。 事件问题可能是由于在代码或已部署工件中找到的漏洞或 CVE 引起的,非事件问题并不是由漏洞引起的,而是表示与合规性状态的偏差,例如单元测试失败和分支保护检查失败。 有关管理问题的更多信息,请参阅 处理突发事件和非突发事件问题 和 管理突发事件问题
合规性证据将创建审计员在合规性审计期间查找的跟踪。 DevSecOps 的目标之一是自动生成证据,并将其存储在可审计的变更请求和持久证据锁定程序中。 有关更多信息,请参阅 证据。