Sichere DevOps-Pipeline erkunden
Wie bereits erwähnt, besteht das Ziel einer Secure DevOps Pipeline darin, Entwicklungsteams zu ermöglichen, schnell zu arbeiten, ohne unerwünschte Sicherheitsrisiken in ihr Projekt einzuführen.
Zwei wichtige Features von sicheren Azure-Pipelines, die in den Standardmäßigen Azure-Pipelines nicht gefunden werden, sind:
- Paketverwaltung und der damit verbundene Genehmigungsprozess. Das vorherige Workflowdiagramm enthält weitere Schritte zum Hinzufügen von Softwarepaketen zur Pipeline und zu den Genehmigungsprozessen, die Pakete durchlaufen müssen, bevor sie verwendet werden. Diese Schritte sollten frühzeitig in der Pipeline eingeführt werden, um Probleme schneller im Zyklus zu identifizieren.
- Der Quellscanner ist auch ein zusätzlicher Schritt zum Scannen des Quellcodes. Dieser Schritt ermöglicht das Scannen nach Sicherheitslücken und die Überprüfung auf Schwachstellen, die nicht im Anwendungscode vorhanden sind. Die Überprüfung erfolgt , nachdem die App erstellt wurde, bevor Release- und Vorabtests durchgeführt werden. Die Quellüberprüfung kann Sicherheitsrisiken weiter oben im Zyklus identifizieren.
Im Rest dieser Lektion befassen wir uns mit diesen beiden wesentlichen Features von Secure Azure Pipelines, den problemen, die sie darstellen, und einigen der Lösungen für sie.