Erkunden der kontinuierlichen Sicherheitsvalidierung
Heutzutage zögern Entwickler nicht, Komponenten zu verwenden, die in öffentlichen Paketquellen (wie npm oder NuGet) verfügbar sind.
Durch die schnellere Bereitstellung und bessere Produktivität werden Open-Source-Softwarekomponenten (OSS) in vielen Unternehmen gefördert.
Mit zunehmender Abhängigkeit von diesen OSS-Komponenten von Drittanbietern steigt jedoch auch die Wahrscheinlichkeit von Sicherheitsrisiken oder versteckten Lizenzanforderungen, was vermehrt zu Konformitätsproblemen führen kann.
Für ein Unternehmen ist dies kritisch, da Probleme im Zusammenhang mit Compliance, Haftungsansprüchen und personenbezogenen Kundendaten viele Bedenken hinsichtlich des Datenschutzes und der Sicherheit verursachen können.
Wenn Sie solche Probleme frühzeitig im Releasezyklus identifizieren, erhalten Sie eine Vorwarnung und genügend Zeit, um die Probleme zu beheben. Die Kosten für die Behebung von Problemen sind umso geringer, je früher im Projekt das Problem entdeckt wird.
Viele Tools können innerhalb der Build- und Releasepipelines auf diese Sicherheitsrisiken prüfen.
Sobald die Zusammenführung abgeschlossen ist, sollte der CI-Build im Rahmen des Pull Request-Prozesses (PR-CI) ausgeführt werden.
In der Regel besteht der Hauptunterschied zwischen den beiden Ausführungen darin, dass der PR-CI-Prozess keine Paketerstellung/kein Staging im CI-Build durchführen muss.
Diese CI-Builds sollten statische Codeanalysetests ausführen, um sicherzustellen, dass der Code alle Regeln für Wartung und Sicherheit befolgt.
Hierfür können mehrere Tools verwendet werden:
- SonarQube
- Visual Studio Code Analysis und die Roslyn Security Analyzer
- Checkmarx: Ein SAST-Tool (Static Application Security Testing)
- BinSkim: Ein binäres statisches Analysetool, das Sicherheits- und Richtigkeitsergebnisse für portierbare ausführbare Windows-Dateien und vieles mehr bereitstellt.
Viele der Tools können nahtlos in den Azure Pipelines Buildprozess integriert werden. Weitere Informationen zu den Integrationsfunktionen dieser Tools finden Sie im Visual Studio Marketplace.
Um die Codequalität mit dem CI-Build zu überprüfen, überprüfen zwei weitere mühsame oder ignorierte Überprüfungen Drittanbieterpakete auf Sicherheitsrisiken und die Nutzung von OSS-Lizenzen.
Wenn wir nach Paketsicherheitsrisiken und Lizenzen von Drittanbietern fragen, ist die Reaktion Sorge oder Unsicherheit.
Organisationen, die versuchen, Sicherheitsrisiken durch Drittanbieterpakete oder OSS-Lizenzen zu verwalten, erklären, dass ihr Prozess mühsam ist und manuellen Aufwand erfordert.
Glücklicherweise kann dieser Identifikationsprozess durch die Tools von Mend Software nahezu sofort erfolgen.
In einem späteren Modul wird die Integration mehrerer hilfreicher und häufig verwendeter Sicherheits- und Compliancetools erörtert.