CircleCI发布新的 ORB(对象请求代理),用于增加 CI/CD 管道的安全性。该版本新增的 ORB 包括漏洞扫描、秘钥管理、许可扫描和数字扫描,可以与 AWS 和谷歌云集成。
ORB是一种可共享的组件,它将命令、执行器和作业组合成单个可重用块。之前,CircleCI 为通用的 Kubernetes 工作流发布了一些 ORB。
最新版本增加了新的 ORB,涵盖了 CI/CD 管道的三个主要安全实践,它们是:
安全的管道配置;
代码和Git历史分析;
安全策略实施。
为了确保管道配置是安全的,CircleCI 允许在多个位置存储管道秘钥。CircleCI 产品经理 Alexey Klochay 解释说:
在CircleCI上,你可以选择使用静态加密的环境变量,或者使用上下文。上下文可用于跨项目访问环境变量。它们的使用权限也可以被限制到特定安全组成员,安全组由组织管理员负责定义。另一种选择是使用第三方解决方案,动态地从安全存储中获取秘钥。
为了支持第三方解决方案方法,添加了新的 ORB,以便与AWS Parameter Store、CryptoMove和Fortanix集成。为了能够在 GCP 中对容器镜像进行签名和认证,还与GCP Binary Authorization进行了集成。
要想知道 Git 存储库是否包含了敏感信息,Klochay 建议使用Trufflehog或GitLeaks。这两种工具都可用于扫描代码库,查找之前的代码提交中是否包含秘钥。
CircleCI 已经发布了一些与漏洞发现相关的 ORB。这些附加功能涵盖了静态应用程序安全性测试(SAST)和动态应用程序安全性测试(DAST)技术。SAST 工具会检查应用程序代码库,分析代码和漏洞的依赖关系。DAST 技术将在应用程序或容器的活动实例上执行类似的扫描,这样可以捕获在运行时加载的依赖项。CircleCI 在这个版本中提供了一些漏洞扫描 ORB,包括Alcide.io、NeuVector、Snyk、WhiteSource、和Probely。
为了解决与业务相关的漏洞和合规性问题,CircleCI 提供了有助于实施安全策略的 ORB,可以对在每个构建中进行评估的业务实践进行编码化。Aqua Security、NowSecure和Twistlock是新增的一些 ORB 附加组件,为策略实施提供支持。
CircleCI 安全工程师 Tad Whitaker 说:
将这些DevSecOps ORB插入到开发人员的CI/CD管道中,可以确保上游的安全性,从而为下游提供更多的保护。在CI中进行安全测试,并使其自动化,让它成为用户的习惯。
2019 年DevOps报告也提到了这个观点,报告发现,“将安全性深入集成到软件交付生命周期中,这让团队对安全性的信心增加了两倍多”。
CircleCI 副总裁 Michael Stahnke 在与 InfoQ 的一次访谈中进一步阐述了这一点,他说,当协作和集成程度越高,安全性就越好。但是,Stahnke 解释说,增强安全性需要更多的时间和金钱投入,但不一定会得到与处理其他非功能性需求相同的结果。Stahnke 表示,帮助企业摆脱这个困境是这一系列 ORB 的目标之一。
CircleCI 提供了有关如何使用和发布 ORB 的文档。用户可以在ORB注册表中查看当前的 ORB 清单。目前可以在云提供商的免费和付费产品中使用 ORB。更多有关新加入的合作伙伴和 ORB 的信息,请查看 CircleCI 的官方公告。
原文链接:
CircleCI Adds Security Integrations to Streamline Securing CI/CD Pipelines
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论