探索關鍵驗證點
在開發到生產環境的每個步驟中,都應該新增持續安全性驗證,以協助確保應用程式一律安全。
此方法旨在將與安全性小組的討論從核准每個版本轉變為批准 CI/CD 流程,並能隨時監控和審計該流程。
下圖醒目提示建置綠色字段應用程式時 CI/CD 管線中的重要驗證點。
您可以根據平臺和應用程式的生命週期,逐漸實作工具。
特別是如果您的產品已成熟,且您先前尚未對網站或應用程式執行任何安全性驗證。
IDE / 提取要求
CI/CD 中的驗證會在開發人員認可其程式代碼之前開始。
IDE 中的靜態程式代碼分析工具提供第一道防線,以協助確保不會在 CI/CD 程式中引入安全性弱點。
提交程式碼到中央存放庫的流程應該具有管控措施,以協助防止引入安全性弱點。
在 Azure DevOps 中使用 Git 原始碼控管配合分支策略,可以提供含驗證的提交流程體驗。
在共用分支上啟用分支原則需要提取要求,才能啟動合併程式,並確保執行所有已定義的控制件。
提取要求應該需要程式代碼檢閱,這是一項手動但重要的檢查,以找出程式代碼中導入的新問題。
除了此手動檢查之外,提交應該連結至工作項目,以追溯程式碼變更的原因,並要求持續整合 (CI) 建置流程成功,以確保推送可以完成。