שילוב של בדיקת ניתוח קומפוזיציה של תוכנה בצינורות

  • 4 דקות

סריקת אבטחה נהגה לחשובה כפעילות שהושלמה פעם אחת בכל הפצה על-ידי צוות אבטחה ייעודי וחברים שלו היו מעורבות מועטה עם קבוצות אחרות.

תרגול זה יוצר דפוס מסוכן שבו מומחי אבטחה למצוא קבוצות גדולות של בעיות בזמן המדויק כאשר מפתחים נמצאים תחת הלחץ הרב ביותר לשחרר מוצר תוכנה.

הלחץ גורמת לעתים קרובות לפריוסת תוכנה עם פגיעויות אבטחה שיש לטפל בהן לאחר פרסום מוצר, תוך שילוב סריקה בזרימת העבודה של צוות בנקודות מרובות לאורך נתיב הפיתוח. Secure DevOps יכול לעזור להפוך את כל הפעילויות של הבטחת איכות, כולל אבטחה, רציף ואוטומטי.

שילוב ניתוח סריקה של קוד בקשת משיכה.

צוותי DevOps יכולים לשלוח שינויים מוצעים לבסיס קוד של יישום (ראשי) באמצעות בקשות משיכה (PRs). כדי להימנע מהצגת בעיות חדשות, מפתחים צריכים לאמת את ההשפעות של שינויי הקוד לפני יצירת בקשת המשיכה. בדרך כלל, בקשתמשיכה נוצרת עבור כל שינוי קטן בתהליך DevOps. השינויים מתמזגים ברציפות עם בסיס הקוד הראשי כדי לשמור על בסיס הקוד הראשי מעודכן. רצוי שמפתח יבדוק אם יש בעיות אבטחה לפני יצירת בקשת המשיכה.

הרחבות Azure Marketplace שמסייעות לשלב סריקות במהלך PRs כוללות:

  • מנדי. עוזר לאמת יחסי תלות עם טביעת האצבע הבינארית שלה.
  • בדוק את. מספק סריקה מצטברת של שינויים.
  • ורהקוד. יישום הרעיון של ארגז חול של מפתחים.
  • ברווז שחור על ידי. כלי ביקורת עבור קוד קוד קוד פתוח כדי לסייע בזיהוי, תיקון וניהול של תאימות.

הרחבות אלה מאפשרות למפתחים להתנסות בשינויים לפני שליחתם כ-PR.

סריקה, ניתוח ושילוב של קוד הגדרת בנייה ומהדורה

מפתחים צריכים למטב CI למהירות כדי לקבל משוב מיידי על בעיות בבנייה. ניתן לבצע סריקת קודים במהירות מספיק כדי לשלב את הגדרת גירסת ה- Build של CI, ומונעת גירסת Build מנותקת. הוא מאפשר למפתחים לשחזר את מצב גירסת ה- Build ל'מוכן/ירוק' על-ידי תיקון מיידי של בעיות פוטנציאליות.

בו-זמנית, התקליטור צריך להיות יסודי. ב- Azure DevOps, התקליטור מנוהל בדרך כלל באמצעות הגדרות ההפצה (ההתקדמות של פלט גירסת ה- Build בין בסביבות) או הגדרות בנייה אחרות.

ניתן לתזמן (יומית) או להפעיל הגדרות בנייה עם כל Commit. בכל מקרה, הגדרת גירסת ה- Build יכולה לבצע סריקת ניתוח סטטית ארוכה יותר (כפי שניתן לראות בתמונה הבאה).

באפשרותך לסרוק את פרויקט הקוד המלא ולס לסקור שגיאות או אזהרות במצב לא מקוון מבלי לחסום את זרימת CI.

דיאגרמה המציגה זרימת עבודה המציין כיצד הגדרת גירסת Build יכולה להפעיל סריקת ניתוח סטטית של קוד מקור.