超级会员免费看
保障交付管道安全
在当今的软件开发中,持续集成和持续交付极大地加速了开发周期,但也带来了一系列安全问题。尤其是对第三方服务的依赖增加,使得应用代码面临被攻击和篡改的风险。本文将探讨如何确保代码和配置在从开发者计算机到云端的整个交付管道中不被篡改,保障生产环境中运行的代码正是开发者编写时所期望的代码。
1. 交付管道安全概述
1.1 传统运维与现代交付管道
在传统运维中,开发者和运维人员倾向于将基础设施与外界隔离,依靠网络分区来保护组件。然而,这种隔离方式在引入新组件以提高开发效率时会变得复杂,成本也较高。因此,年轻的科技公司通常更愿意依赖第三方来构建交付管道,而成熟的企业则倾向于将这些组件带回内部。
1.2 外包 DevOps 管道的安全问题
外包的 DevOps 管道安全性往往较弱,因为许多第三方服务的默认配置缺乏安全性,组件可能拥有超出其任务所需的权限。一旦这些组件被攻破,整个 DevOps 管道的完整性将受到威胁。
1.3 安全策略转变
我们的安全策略从依靠网络隔离保护组件转变为通过访问控制来保障管道安全。需要在以下三个领域审查和改进访问控制:
- 开发者、GitHub 和 CircleCI 之间的代码管理和发布
- Docker Hub 中的容器存储
- AWS 中的基础设施管理
通过保障这些领域的安全,开发者可以确保他们编写的代码完整地交付给组织的客户使用。
2. 代码管理基础设施的访问控制
2.1 基础设施介绍
代码管理基础设施是 DevOps 管道中的常见模式
订阅专栏 解锁全文
扫一扫
875
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
