Exploración de puntos de validación clave

  • 1 minuto

La validación continua de seguridad debe agregarse en cada paso del desarrollo a través de producción para ayudar a garantizar que la aplicación siempre sea segura.

Este enfoque tiene como objetivo cambiar la conversación con el equipo de seguridad, pasando de aprobar cada entrega a autorizar el proceso de CI/CD y permitiéndoles supervisar y auditar el proceso en cualquier momento.

En el diagrama siguiente se resaltan los puntos de validación críticos de la canalización de CI/CD al desarrollar aplicaciones nuevas.

Puede implementar gradualmente las herramientas en función de la plataforma y del ciclo de vida de la aplicación.

Especialmente si el producto está maduro y no ha ejecutado previamente ninguna validación de seguridad en su sitio o aplicación.

Captura de pantalla del diagrama de flujo con IDE y extracción, CI, desarrollo y pruebas.

IDE / solicitud de incorporación de cambios

La validación en CI/CD comienza antes de que el desarrollador confirme su código.

Las herramientas de análisis de código estático del IDE proporcionan la primera línea de defensa para ayudar a garantizar que las vulnerabilidades de seguridad no se introducen en el proceso de CI/CD.

El proceso para confirmar código en un repositorio central debe tener controles para ayudar a evitar que se introduzcan vulnerabilidades de seguridad.

El uso del control de código fuente de Git en Azure DevOps con directivas de rama proporciona una experiencia de confirmación controlada que puede proporcionar esta validación.

La habilitación de directivas de rama en la rama compartida requiere una solicitud de incorporación de cambios para iniciar el proceso de combinación y garantizar la ejecución de todos los controles definidos.

La solicitud de incorporación de cambios debe requerir una revisión de código, la única comprobación manual pero importante para identificar nuevos problemas introducidos en el código.

Junto con esta comprobación manual, los commits deben estar vinculados a elementos de trabajo para auditar la razón del cambio de código y requieren un proceso de integración continua (CI) que tenga éxito antes de que se pueda completar el push.