在CI/CD框架中保障安全性是一個復雜但至關重要的任務。以下是一些關鍵步驟和最佳實踐,可以幫助確保CI/CD框架的安全性:
創建健康開發環境
- 威脅建模:從攻擊者視角出發,識別潛在的攻擊類型和區域,并制定相應的緩解措施。
- 軟件組件(SLSA)級別評定:在軟件項目的規劃階段,使用SLSA框架來確定CI/CD管道的安全性。
提升代碼的安全可見性
- 軟件組合分析(SCA):對所有代碼的安全性進行檢測和分析。
- 軟件物料清單(SBOM):記錄軟件系統各組件的所有代碼及其關聯性和交互性。
- 靜態應用程序安全測試(SAST):檢查應用程序源代碼、匯編代碼、字節碼和二進制文件是否存在安全漏洞。
進行充分的安全性驗收測試
- 動態應用程序安全測試(DAST):模擬真實的攻擊行為,從外到內進行安全性驗證和分析。
- 容器掃描:對于使用容器開發模式的團隊,使用容器掃描工具檢查安全性。
開展持續的安全監控
- 身份和訪問管理(IAM):確保用戶訪問權限和級別的正確管理,防止未經授權的訪問。
- 基于風險的安全監控:將應用系統風險管控落實到軟件開發流程的每個階段。
通過實施上述措施,可以顯著提高CI/CD框架的安全性,保護軟件供應鏈免受攻擊。
