探索關鍵驗證點

  • 1 分鐘

在開發到實際執行環境中的每個步驟,應新增持續安全性驗證,有助於隨時確保應用程式的安全。

此方法旨在將與安全性小組的溝通模式從核准每個版本切換至同意 CI/CD 程序,並隨時監視和稽核程序。

建置早期開發階段 (green field) 的應用程式時,下圖會醒目提示 CI/CD 管線中的重要驗證點。

根據您的平台和應用程式生命週期,您可以逐漸實作工具。

尤其當您的產品處於成熟期且先前尚未對網站或應用程式執行任何安全性驗證時。

Screenshot of flowchart with IDE, and Pull, CI, Dev, and Test.

IDE/提取要求

CI/CD 中的驗證會在開發人員認可程式碼之前開始進行。

IDE 中的靜態程式碼分析工具提供第一道防護,協助確保不會再 CI/CD 程序中引入安全性弱點。

在中央存放庫中認可程式碼的程序,應有控制項來協助防止引入安全性弱點。

在 Azure DevOps 中使用 Git 原始檔控制搭配分支原則,提供可以提供此驗證的受管制認可體驗。

在共用分支上啟用分支原則需要提取要求才能啟動合併程序,並確保執行所有已定義的控制項。

提取要求應需要應用程式檢閱,這是手動但重要的檢查,以識別程式碼中引入的新問題。

除了這項手動檢查以外,認可應連結至工作項目以供稽核程式碼變更的原因,並要求持續整合 (CI) 建置程序成功,才能完成推送。