Explore os principais pontos de validação
A validação de segurança contínua deve ser adicionada em cada etapa, desde o desenvolvimento até a produção, para ajudar a garantir que o aplicativo esteja sempre seguro.
Essa abordagem visa mudar a conversa com a equipe de segurança da aprovação de cada versão para o consentimento do processo de CI/CD e monitorar e auditar o processo a qualquer momento.
O diagrama abaixo destaca os pontos críticos de validação no pipeline de CI/CD ao construir aplicações de campo verde.
Você pode implementar gradualmente as ferramentas dependendo da sua plataforma e do ciclo de vida do seu aplicativo.
Especialmente se o seu produto estiver maduro e você não tiver executado anteriormente nenhuma validação de segurança em seu site ou aplicativo.
IDE / solicitação pull
A validação no CI/CD começa antes que o desenvolvedor confirme seu código.
As ferramentas de análise de código estático no IDE fornecem a primeira linha de defesa para ajudar a garantir que vulnerabilidades de segurança não sejam introduzidas no processo de CI/CD.
O processo de confirmação de código num repositório central deve incluir controlos que ajudem a prevenir a introdução de vulnerabilidades de segurança.
Usar o controle de origem do Git no Azure DevOps com políticas de ramificação fornece uma experiência de confirmação fechada que pode fornecer essa validação.
Habilitar políticas de ramificação na ramificação compartilhada requer uma solicitação pull para iniciar o processo de mesclagem e garantir a execução de todos os controles definidos.
A solicitação pull deve exigir uma revisão de código, a única verificação manual, mas importante, para identificar novos problemas introduzidos em seu código.
Junto com essa verificação manual, as confirmações devem ser vinculadas a itens de trabalho para auditar por que a alteração de código foi feita e exigem um processo de compilação de integração contínua (CI) para ter êxito antes que o push possa ser concluído.