15、软件开发中的安全与发布方法

软件开发中的安全与发布方法

1. DevOps中的安全

在软件开发中，若开发者掌握了正确的信息并知晓如何解决漏洞，那么他们就能在短时间内修复漏洞并将其投入生产，甚至可能在一天内完成。不过，要达到这一目标，需要满足一些条件并确保各项工作顺利进行。一个成功的DevSecOps管道具备以下能力：
- 教育、赋能开发团队，使其在开发过程中能够做出安全决策。
- 减少安全关卡，借助自动化实现更快、更有针对性的测试。
- 提供快速的漏洞发现、分类、报告和解决流程的漏洞管理。

1.1 DevOps管道

DevOps管道由将代码集成并交付到生产环境的自动化流程组成。不同组织所使用的管道工具各不相同，但代码交付的基本管道流程大致如下：

graph LR
    A[代码提交] --> B[代码构建]
    B --> C[单元测试]
    C --> D[合并到主干]
    D --> E[集成测试]
    E --> F[部署到预生产环境]
    F --> G[回归测试]
    G --> H[部署到生产环境]

代码在管道中的具体流程如下：
1. 开发者完成开发后提交代码。
2. 进入构建流程，将不同的库和组件组合在一起以创建应用程序。
3. 运行单元测试，检查代码更改是否存在潜在的回归问题。
4. 若本地构建和测试完成，代码将合并到主干，在此会启动额外的测试，以便在整个系统的其他组件（如API和组织内的其他产品）的上下文中对代码更改进行测试。 <