Изучение ключевых точек проверки
Непрерывная проверка безопасности должна быть добавлена на каждом шаге от разработки до рабочей среды, чтобы обеспечить безопасность приложения.
Этот подход направлен на то, чтобы изменить формат взаимодействия с командой безопасности, сменив акцент с одобрения каждого выпуска на согласование процесса CI/CD, а также на возможность наблюдения и аудита этого процесса в любое время.
На приведенной ниже схеме показаны критические точки проверки в конвейере CI/CD при создании приложений зеленых полей.
Вы можете постепенно реализовать средства в зависимости от платформы и жизненного цикла приложения.
Особенно если ваш продукт зрел и вы ранее не выполнили проверку безопасности на вашем сайте или приложении.
IDE / Pull Request
Проверка в CI/CD начинается до того, как разработчик зафиксирует свой код.
Средства анализа статического кода в интегрированной среде разработки предоставляют первую строку защиты, чтобы гарантировать, что уязвимости безопасности не вводятся в процесс CI/CD.
Процесс фиксации кода в центральном репозитории должен иметь элементы управления, чтобы предотвратить появление уязвимостей безопасности.
Использование системы управления версиями Git в Azure DevOps с политиками ветвления обеспечивает контролируемый процесс коммитов, который может предоставить эту проверку.
Чтобы включить политики для общей ветки, требуется pull request для запуска процесса слияния и обеспечения выполнения всех определенных управляющих элементов.
Пулл-реквест должен требовать проверки кода, которая выполняется вручную и является важной для выявления новых проблем, внедренных в код.
Наряду с этой ручной проверкой, коммиты должны быть связаны с рабочими элементами для аудита причин изменений в коде, а процесс сборки в рамках непрерывной интеграции (CI) должен успешно завершиться, прежде чем отправка может быть завершена.