Menerapkan keamanan dan kepatuhan dalam Azure Pipeline
Perkiraan waktu: 45 menit.
File lab: tidak ada.
Skenario
Di lab ini, Anda akan menggunakan Mend Bolt (sebelumnya WhiteSource) dengan Azure DevOps untuk secara otomatis mendeteksi komponen sumber terbuka yang rentan, pustaka yang kedaluarsa, dan masalah kepatuhan lisensi dalam kode Anda. Anda akan menggunakan WebGoat, aplikasi web yang sengaja tidak aman yang dikelola oleh OWASP yang dirancang untuk menggambarkan masalah keamanan aplikasi web umum.
Mend adalah pemimpin dalam keamanan perangkat lunak sumber terbuka berkelanjutan dan manajemen kepatuhan. Mend terintegrasi ke dalam proses build, terlepas dari bahasa pemrograman, alat build, atau lingkungan pengembangan Anda. Mend bekerja secara otomatis, terus menerus, dan tersembunyi di latar belakang, memeriksa keamanan, lisensi, dan kualitas komponen sumber terbuka Anda terhadap Mend database definitif yang terus diperbarui dari repositori sumber terbuka.
Mend menyediakan Mend Bolt, solusi manajemen dan keamanan sumber terbuka ringan yang dikembangkan secara khusus untuk mengintegrasikan Azure DevOps.
Catatan
Mend Bolt bekerja per proyek dan tidak menawarkan kemampuan peringatan real-time, yang memerlukan Platform lengkap.
Mend Bolt direkomendasikan untuk tim pengembangan yang lebih besar yang ingin mengotomatisasi manajemen sumber terbuka mereka di seluruh siklus pengembangan perangkat lunak (dari repositori hingga tahap pasca penyebaran) dan di semua proyek dan produk.
Integrasi Azure DevOps dengan Mend Bolt akan memungkinkan Anda untuk:
- Mendeteksi dan memperbaiki komponen sumber terbuka yang rentan.
- Hasilkan laporan inventori sumber terbuka komprehensif per proyek atau build.
- Terapkan kepatuhan lisensi sumber terbuka, termasuk lisensi dependensi.
- Identifikasi pustaka sumber terbuka yang sudah kedaluarsa dengan rekomendasi untuk diperbarui.
Tujuan
Setelah menyelesaikan lab ini, Anda akan dapat:
- Mengaktifkan Mend Bolt.
- Menjalankan alur build dan meninjau laporan keamanan serta kepatuhan Mend.
Persyaratan
- Lab ini memerlukan Microsoft Edge atau browser yang didukung Azure DevOps.
- Siapkan organisasi Azure DevOps: Jika Anda belum memiliki organisasi Azure DevOps yang dapat Anda gunakan untuk lab ini, buat organisasi dengan mengikuti instruksi yang tersedia di Membuat organisasi atau kumpulan proyek.
Latihan
Selama lab ini, Anda akan menyelesaikan latihan berikut:
- Latihan 0: Mengonfigurasi prasyarat lab.
- Latihan 1: Menerapkan Keamanan dan Kepatuhan dalam alur Azure DevOps menggunakan Mend Bolt.