探索安全 DevOps 管線
如先前所述,Secure DevOps Pipeline 的目標是讓開發小組能夠快速運作,而不會對其專案引入不必要的弱點。
Secure Azure Pipelines 的兩項基本功能,而這些功能在標準 Azure Pipelines 中找不到:
- 套件管理及其相關的核准流程。 上一個工作流程圖表詳細說明將軟體套件新增至管線的其他步驟,以及套件在使用之前必須經歷的核准程式。 這些步驟應在管線中早期制定,以在迴圈中更快找出問題。
- 來源掃描器也是掃描原始程式碼的額外步驟。 此步驟允許安全性掃描和檢查應用程式程式代碼中不存在的弱點。 在 應用程式建置 之後, 發行和發行前測試之前,就會 掃描。 來源掃描可以識別週期稍早的安全性弱點。
在這一課的其餘部分,我們會解決安全 Azure Pipelines 的這兩個基本功能、存在的問題,以及其中一些解決方案。