保护持续集成(CI)/持续交付(CD)管道的五个优秀实践
发布时间:2023-02-22 14:09:57 所属栏目:安全 来源:
导读:Linting是一个由识别代码风格偏差和不安全理论的工具执行的方式。更复杂的静态应用程序安全测试(SAST)工具可以发现缓冲区溢出、SQL注入缺陷和其他问题。Raina建议将SAST集成到持续集成中。
Redgate Software公司
Redgate Software公司
|
Linting是一个由识别代码风格偏差和不安全理论的工具执行的方式。更复杂的静态应用程序安全测试(SAST)工具可以发现缓冲区溢出、SQL注入缺陷和其他问题。Raina建议将SAST集成到持续集成中。 Redgate Software公司Devops倡导者Steve Jones表示,工具很重要,但就像任何Devops流程一样,确保随着时间的推移不断学习和成长。他说:“定期对开发人员进行安全编码实践方面的教育,并确保他们找出简单的漏洞(例如SQL注入),这一点至关重要。” Buildkite公司联合创始人兼联合首席执行官Tim Lucas分享了他的一些最佳实践。他建议查看来自开源和第三方的依赖项目,以了解常见漏洞和暴露 (CVE)。Devops团队不要将易受攻击的软件投入生产。他建议,对供应商软件使用可验证的签名,这样如果供应商受到威胁,供应链企业的金融安全以及其他供应链也不会受到一定程度的损害。 Sonatype公司现场首席技术官lkka Turunen对此表示赞同。他建议说,“最佳实践之一是在搜索开源软件项目时具有选择性,这就像在传统制造业中一样,并非所有部分都是平等的。寻找由敬业且负责任的开发人员维护的项目,不仅可以提高软件供应链的可维护性,还可以减少技术债务、返工和安全风险。” 这些建议只是在软件开发生命周期中应用最佳安全实践时的冰山一角,但它们是开发安全交付管道的关键先决条件。因此,我们需要确保所有这些工具都能提供有效的保护,以防止未经授权的访问。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐