Вход Зарегистрироваться
Обзор
Проекты с открытым исходным кодом > Other Open Source > Books/Manuals/Tutorials &&
Сканировать QR-код WeChat для оплаты
Отмена
Платеж завершен
Смотреть
Отписаться Следить за всеми активностями Следить только за динамикой выпуска обновлений Подписаться без уведомления
1 В избранное 0 Ответвления 0

OSCHINA-MIRROR/koderover-zadig-doc

Код Задачи 0 Запросы на слияние 0 Wiki Статистика
Присоединиться к Gitlife
Откройте для себя и примите участие в публичных проектах с открытым исходным кодом с участием более 10 миллионов разработчиков. Приватные репозитории также полностью бесплатны :)
Присоединиться бесплатно
Клонировать/Скачать
HTTPS SSH SVN SVN+SSH
Копировать
Скачать ZIP
06.security_manual.md 10 КБ
Копировать Редактировать Web IDE Исходные данные Просмотреть построчно История
gitlife-traslator Отправлено 30.11.2024 13:49 5ccffec

Руководство по подключению служб безопасности

ZadigX предоставляет возможность управлять разработкой программного обеспечения на всех этапах жизненного цикла. ZadigX поддерживает практически все существующие инструменты и службы безопасности. С помощью мощного механизма выполнения и настраиваемых рабочих процессов ZadigX обеспечивает надёжную поддержку для команд безопасности.

ZadigX помогает командам безопасности перенести услуги и возможности безопасности влево, к разработчикам и группам эксплуатации, чтобы проблемы безопасности выявлялись как можно раньше и другие роли также участвовали в решении проблем безопасности и соответствия требованиям, что позволяет избежать дополнительных затрат на устранение таких проблем.

Подключение служб статической безопасности (SAST)

  • Шаг 1: Настройка сканирования кода Добавьте сканирование кода, заполнив конфигурацию сканирования кода. Обратитесь к документации: Сканирование кода.

    Примечание: Для инструмента SonarQube вы можете включить проверку качества, обратившись к документации: Проверка качества (https://zadigx-v1-5-0/project/scan/#quality-gate).

  • Шаг 2: Включите сканирование кода в рабочий процесс Отредактируйте рабочий процесс, добавив задачу сканирования кода по мере необходимости, например, перед задачей сборки. Обратитесь к документации: Настройка рабочего процесса.

Тестирование динамической безопасности приложений (IAST)

  • Шаг 1: Интеграция возможностей IAST в службу В качестве примера рассмотрим использование DongTai. Измените конфигурацию YAML службы, установите агент DongTai IAST и измените команду запуска службы. Пример конфигурации службы YAML:

    Примечание: Вы можете гибко использовать возможности переменных служб ZadigX в конфигурации YAML служб для управления установкой агента для динамического обнаружения безопасности по мере необходимости. Обратитесь к документации: Переменные служб.

// Исходная конфигурация службы
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: service1
  name: service1
spec:
  selector:
    matchLabels:
      app: service1
  template:
    metadata:
      labels:
        app: service1
    spec:
      containers:
        - name: service1
          image: dongtai/dongtai-java-agent-demo:0.0.1
// Конфигурация службы после установки агента DongTai IAST
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: service1
  name: service1
spec:
  selector:
    matchLabels:
      app: service1
  template:
    metadata:
      labels:
        app: service1
    spec:
      {{- if .iast }}
      volumes:
        - name: dongtai-iast-agent
          emptyDir: {}
      initContainers:
        - name: agent-init-container
          image: curlimages/curl
          volumeMounts:
            - name: dongtai-iast-agent
              mountPath: /tmp
          args:
            - "-k"
            - "-X"
            - "GET"
            - "из URL-адреса загрузки агента, предоставленного через портал управления DongTai"
            - "-H"
            - "заголовок запроса на загрузку агента из портала управления DongTai"
            - "-o"
            - "/tmp/agent.jar"
      {{- end}}
      containers:
        - name: service1
          image: dongtai/dongtai-java-agent-demo:0.0.1
          {{- if .iast }}
          volumeMounts:
            - name: dongtai-iast-agent
              mountPath: /agent
          env:
            - name: JAVA_TOOL_OPTIONS
              value: "-javaagent:/agent/agent.jar"
          {{- end}}
  • Шаг 2: Разверните службу в среде Разверните службу с внедрённым агентом IAST в среду. Обратитесь к документации: Добавление служб.

Основные сценарии использования DevSecOps

  • Этап разработки: внедрение статической безопасности

Процесс включает в себя: фиксацию кода > статическое сканирование > сборку > развёртывание > самопроверку и отладку. После завершения реализации кода и отправки изменений PR автоматически запускается статическое сканирование кода. Результаты сканирования отображаются в PR, где вы можете перейти к ZadigX для просмотра причин сбоя и устранения потенциальных проблем с качеством и безопасностью в источнике.

  • Этап тестирования: комбинированная стратегия безопасности

Процесс включает в себя: статическое сканирование (включение проверки качества) > сборка > развёртывание > автоматическое тестирование (бизнес-тестирование + динамическое обнаружение безопасности). После разработки и тестирования инженер по тестированию выполняет рабочий процесс на основе ветки кода + PR для развёртывания среды интеграции и автоматического тестирования. После выполнения рабочего процесса уведомление отправляется в IM. Войдите в систему управления, чтобы просмотреть подробную информацию о недостатках динамического обнаружения, и своевременно устраните их, чтобы как можно скорее устранить риски безопасности.

Если задача статического сканирования не выполнена, последующие задачи сборки и развёртывания не будут выполнены. Непройденные изменения кода будут отклонены для слияния, чтобы предотвратить потенциальные проблемы с безопасностью на уровне исходного кода и установить эффективные меры контроля качества. Этот подход предотвращает попадание скрытых проблем в систему.

  • Этап выпуска: полная проверка и утверждение

Процесс включает в себя: проверку безопасности > поэтапное развёртывание серого цвета > автоматическое тестирование. Когда тестирование пройдёт успешно, выполните рабочий процесс prod для выпуска. После утверждения вы можете выполнить развёртывание. Рекомендуется несколько стратегий развёртывания:

  1. Создайте механизм контроля развёртывания, который автоматически получает результаты сканирования безопасности, модульного тестирования и регрессионного тестирования для определения возможности развёртывания. Это служит точкой останова в процессе развёртывания и гарантирует, что версия прошла проверку и соответствует корпоративным стандартам безопасности перед выполнением операций развёртывания.
  2. Гибко планируйте стратегии развёртывания синего/зелёного, золотого/синего, поэтапного развёртывания серого и Istio для обеспечения надёжности развёртывания. Обратитесь к: Рабочий процесс выпуска.
  3. Добавьте ручную проверку безопасности в рабочий процесс развёртывания для обеспечения соответствия бизнес-процессам.

Опубликовать ( 0 )

Вы можете оставить комментарий после Вход в систему

1
https://api.gitlife.ru/oschina-mirror/koderover-zadig-doc.git
git@api.gitlife.ru:oschina-mirror/koderover-zadig-doc.git
oschina-mirror
koderover-zadig-doc
koderover-zadig-doc
main
Опубликовать
Отчет о репозитории
Вернуться к началу