使用 DevSecOps 构建安全的软件供应链

使用通过 IBM Cloud®提供的 DevSecOpsA methodology that integrates security practices with the software development and operations lifecycle. The goal of the merge is to prioritize the balance of development speed and security. 工具和服务，您可以利用经验证的安全软件供应链来开发和部署应用程序代码。 您的敏捷开发实践需要快速部署应用程序，但同时需要确保应用程序安全。 了解有关 agile，DevOps和 DevSecOps 的背景的更多信息。

您可以使用 DevSecOps Application Lifecycle Management 可部署体系结构，这是从 IBM Cloud 目录中提供的解决方案，该目录使用 Continuous Delivery 和其他工具来帮助您在应用软件开发生命周期的每个阶段自动集成安全性，从开发到集成，测试，部署和软件交付。 还会收集证据，以便您可以轻松地向审计员证明正在满足必要的控制。 通过使用 DevSecOps Application Lifecycle Management，您可以实施左移方法，方法是防止新的漏洞到达生产环境，确保使用质量和控制对生产环境进行频繁更新，并收集用于处理安全审计的证据。

DevSecOps Application Lifecycle Management 使用 Continuous Delivery (Git Repos and Issue Tracking，Tekton Pipeline，DevOps Insights和 Code Risk Analyzer)，Secrets Manager，Key Protect，Object Storage，Container Registry和 Vulnerability Advisor。 根据金融服务行业的需求，Continuous Delivery 提供了 NIST 配置管理 控件作为服务的参考实现。

DevSecOps with Continuous Delivery 也使用扫描工具，例如 SonarQube，Gosec，OWASP Zap (动态扫描)，任何单元测试框架和 GPG 签名。 它还可以与更多工具 (例如，外部 Git 提供程序和工件存储) 配合使用。 DevSecOps 支持混合部署，特别是通过使用 管道专用工作程序，并且可以与其他部署工具 (例如 Satellite Config 和 ArgoCD) 进行交互。 有关更多信息，请参阅 DevSecOps with Continuous Delivery。

您可以从目录配置此可部署体系结构，方法是将其添加到 项目A collection of artifacts that define and manage resources and Infrastructure as Code deployments. ，配置输入变量，验证更新并在短时间内进行部署。 了解如何 部署 DevSecOps Application Lifecycle Management with projects。