Integrace kontrol analýzy složení softwaru do kanálů

  • 4 min

Kontrola zabezpečení byla považována za aktivitu, která byla dokončena jednou za vydání vyhrazeným týmem zabezpečení, jehož členové se málo zapojili do jiných skupin.

Tento postup vytváří nebezpečný vzor, ve kterém odborníci na zabezpečení najdou velké dávky problémů v přesné době, kdy jsou vývojáři pod největším tlakem na uvolnění softwarového produktu.

Tlak často vede k nasazení softwaru s ohroženími zabezpečení, která je potřeba řešit po vydání produktu, a integruje kontrolu do pracovního postupu týmu v několika bodech v rámci vývojové cesty. Zabezpečení DevOps může pomoct zajistit všechny aktivity kontroly kvality, včetně zabezpečení, nepřetržitého a automatizovaného.

Integrace analýzy kontroly kódu žádosti o přijetí změn

Týmy DevOps mohou odesílat navrhované změny do základu kódu aplikace (hlavní) pomocí žádostí o přijetí změn (ŽÁDOSTI O přijetí změn). Aby vývojáři nemuseli zavádět nové problémy, musí před vytvořením žádosti o přijetí změn ověřit účinky změn kódu. Žádost o přijetí změn se obvykle provádí pro každou malou změnu v procesu DevOps. Změny se průběžně slučují s hlavním základem kódu, aby byl hlavní základ kódu aktuální. Vývojář by v ideálním případě měl před vytvořením žádosti o přijetí změn zkontrolovat problémy se zabezpečením.

Mezi rozšíření Azure Marketplace, která pomáhají integrovat kontroly během žádostí o přijetí změn, patří:

  • Chycené. Pomáhá ověřovat závislosti pomocí binárního otisku prstu.
  • Checkmarx. Poskytuje přírůstkové prohledávání změn.
  • Veracode. Implementuje koncept sandboxu pro vývojáře.
  • Black Duck by Synopsis. Nástroj pro auditování opensourcového kódu, který pomáhá identifikovat, opravit a spravovat dodržování předpisů.

Tato rozšíření umožňují vývojářům experimentovat se změnami před jejich odesláním jako žádosti o přijetí změn.

Sestavení a vydání definice kódu skenování, analýzy a integrace

Vývojáři potřebují optimalizovat CI, aby mohli rychle získat zpětnou vazbu k problémům se sestavením. Kontrolu kódu je možné provést dostatečně rychle, aby bylo možné integrovat definici sestavení CI, což brání nefunkčnímu sestavení. Umožňuje vývojářům obnovit stav sestavení tak, aby byl připravený nebo zelený, protože okamžitě opraví potenciální problémy.

Zároveň musí být cd důkladné. V Azure DevOps se DISK CD obvykle spravuje prostřednictvím definic vydaných verzí (které postupují s výstupem sestavení napříč prostředími) nebo jinými definicemi sestavení.

Definice sestavení je možné naplánovat (denně) nebo aktivovat s každým potvrzením. V obou případech může definice sestavení provádět delší kontrolu statické analýzy (jak je znázorněno na následujícím obrázku).

Kompletní projekt kódu můžete zkontrolovat a zkontrolovat všechny chyby nebo upozornění offline bez blokování toku CI.

Diagram znázorňující pracovní postup, který popisuje, jak definice sestavení může aktivovat kontrolu statické analýzy zdrojového kódu