了解关键验证点
从开发到生产的每个步骤中都应添加持续安全验证,用于帮助确保应用程序始终是安全的。
此方法旨在转变与安全团队的对话,内容不是审批每个发布,而是同意 CI/CD 过程,并且随时监视和审核该过程。
下图突出显示了生成全新应用程序时 CI/CD 管道中的关键验证点。
根据平台和应用程序的生命周期,你可逐步实现这些工具。
尤其是在产品已成熟,并且你之前尚未针对站点或应用程序运行任何安全验证时。
IDE/拉取请求
CI/CD 中的验证在开发人员提交其代码之前就开始了。
IDE 中的静态代码分析工具提供第一道防线,帮助确保安全漏洞没有引入到 CI/CD 过程。
将代码提交到集中存储库的过程应该有所控制,帮助阻止引入安全漏洞。
将 Azure DevOps 中的 Git 源代码管理与分支策略结合使用可提供可实现此验证的封闭提交体验。
对共享分支启用分支策略需要一个拉取请求,以启动合并过程并确保执行所有定义的控制。
拉取请求应需要进行代码评审,这是一项手动执行但十分重要的检查,用于识别引入到代码中的新问题。
除了这一项手动检查外,提交还应链接到工作项以审核进行代码更改的原因,并要求持续集成 (CI) 生成过程成功后才能完成推送。