{"id":54747,"date":"2021-10-27T14:03:49","date_gmt":"2021-10-27T12:03:49","guid":{"rendered":"https:\/\/biznes.t-mobile.pl\/?p=54747"},"modified":"2024-02-13T11:41:03","modified_gmt":"2024-02-13T10:41:03","slug":"proces-ci-cd-w-oparciu-o-devsecops","status":"publish","type":"post","link":"https:\/\/biznes.t-mobile.pl\/pl\/proces-ci-cd-w-oparciu-o-devsecops","title":{"rendered":"Proces CI\/CD w oparciu o DevSecOps"},"content":{"rendered":"

W polskim t\u0142umaczeniu CI\/CD to nic innego jak Ci\u0105g\u0142a Integracja (CI) i Ci\u0105g\u0142e Dostarczanie (CD) Jest to zestaw zasad dzia\u0142ania i zbi\u00f3r praktyk, kt\u00f3re umo\u017cliwiaj\u0105 zespo\u0142om programistycznym cz\u0119stsze i bardziej niezawodne dostarczanie zmian w kodzie. CI\/CD to jedna z najlepszych praktyk do wdro\u017cenia przez zespo\u0142y Devops. Poniewa\u017c poszczeg\u00f3lne etapy wdra\u017cania s\u0105 zautomatyzowane jest to r\u00f3wnie\u017c najlepsza praktyka metodologii zwinnej, umo\u017cliwiaj\u0105ca zespo\u0142om programistycznym skupienie si\u0119 na spe\u0142nianiu wymaga\u0144 biznesowych, jako\u015bci kodu i bezpiecze\u0144stwie. Ci\u0105g\u0142a integracja i ci\u0105g\u0142e dostarczanie (CI\/CD) pomagaj\u0105 zespo\u0142om mi\u0119dzyfunkcyjnym np. zespo\u0142owi wirtualizacji, sieci wraz z zespo\u0142em programistycznym w wype\u0142nianiu ich zada\u0144, zapewniaj\u0105c automatyzacj\u0119, nadz\u00f3r i bezpiecze\u0144stwo procesu dostarczania oprogramowania.<\/p>\n

DevOps to spos\u00f3b, w jaki zespo\u0142y programistyczne pracuj\u0105 z lud\u017ami, procesami i technologiami, pozwalaj\u0105c dostarcza\u0107 warto\u015b\u0107 swoim klientom. W cyklu \u017cycia DevOps zespo\u0142y nie koncentruj\u0105 si\u0119 tylko na wydaniu swoich produkt\u00f3w\/program\u00f3w, ale aby odnie\u015b\u0107 sukces dzi\u0119ki DevOps, zespo\u0142y musz\u0105 dostarcza\u0107 warto\u015b\u0107 w szybki, bezpieczny i powtarzalny spos\u00f3b.<\/p>\n

Natomiast DevSecOps, to spos\u00f3b na podej\u015bcie do bezpiecze\u0144stwa IT z my\u015bl\u0105 \u201eka\u017cdy jest odpowiedzialny za bezpiecze\u0144stwo\u201d. Obejmuje on wprowadzenie praktyk bezpiecze\u0144stwa do cyklu DevOps organizacji. Celem jest w\u0142\u0105czenie zabezpiecze\u0144 na wszystkich etapach procesu tworzenia oprogramowania. Podej\u015bcie to znacz\u0105co r\u00f3\u017cni si\u0119 w por\u00f3wnaniu z poprzednimi modelami rozwoju. DevSecOps oznacza bowiem, \u017ce nie zostawiamy bezpiecze\u0144stwa wy\u0142\u0105cznie na ko\u0144cowe etapy SDLC (cyklu \u017cycia tworzenia oprogramowania).<\/p>\n

Jak w\u0142\u0105czy\u0107 DevSecOps do obecnego procesu DevOps lub SDLC?<\/h2>\n

Implementacja DevSecOps nie jest trywialnym zadaniem i wymaga dostosowania wielu zintegrowanych narz\u0119dzi, proces\u00f3w i zasad. Wykorzystanie sp\u00f3jnej architektury referencyjnej zapewni \u015bcis\u0142\u0105 wsp\u00f3\u0142prac\u0119 wszystkich aspekt\u00f3w automatyzacji.<\/p>\n

DevSecOps to jednak obowi\u0105zkowa metodologia, kt\u00f3r\u0105 nale\u017cy zintegrowa\u0107 z procesem DevOps, aby pom\u00f3c poprawi\u0107 bezpiecze\u0144stwo w SDLC. Istnieje pi\u0119\u0107 wa\u017cnych faz, kt\u00f3re nale\u017cy wykona\u0107, aby w\u0142\u0105czy\u0107 DevSecOps w bie\u017c\u0105cym procesie DevOps lub w SDLC. Przy wdro\u017ceniach wykorzystuje si\u0119 najlepsze praktyki kultury DevSecOps pocz\u0105wszy od planowania, inwentaryzacji, budowy przyk\u0142adowego procesu CI\/CD, poprzez wdro\u017cenie i ewaluacj\u0119.<\/p>\n

Oto kluczowe fazy, kt\u00f3re to umo\u017cliwiaj\u0105:<\/p>\n

Faza 1: Ochrona \u015brodowiska pracy.<\/h3>\n

Nale\u017cy rozpocz\u0105\u0107 od wdro\u017cenia bezpiecznych \u015brodowisk pracy. Podczas tworzenia aplikacji w wi\u0119kszo\u015bci przypadk\u00f3w deweloperzy korzystaj\u0105 z wielu technologii, w tym open-source. Docker jest \u015bwietnym pomocnikiem na tym etapie, poniewa\u017c automatyzuje wdra\u017canie infrastruktury i us\u0142ug nawet na komputerach lokalnych. Korzystaj\u0105c z tego gotowego do u\u017cycia \u015brodowiska, nale\u017cy upewni\u0107 si\u0119, \u017ce u\u017cywane s\u0105 najnowsze \/ zaktualizowane wersje obraz\u00f3w platformy Docker. Niestety nawet obrazy pochodz\u0105ce od oficjalnych dostawc\u00f3w cz\u0119sto zawieraj\u0105 ju\u017c podatno\u015bci.<\/p>\n

Faza 2: Kontrola wersji i analiza bezpiecze\u0144stwa kodu.<\/h3>\n

Nale\u017cy w\u0142\u0105czy\u0107 sprawdzanie b\u0142\u0119d\u00f3w w zabezpieczeniach podczas przesy\u0142ania kodu \u017ar\u00f3d\u0142owego do repozytorium. Wyst\u0119powanie wielu dostawc\u00f3w lub os\u00f3b pracuj\u0105cych nad fragmentem kodu mo\u017ce prowadzi\u0107 do luk w zabezpieczeniach, zw\u0142aszcza gdy s\u0105 one rozproszone. Systemy Git, SonarQube czy te\u017c Microfocus Fortify s\u0105 doskona\u0142ym usprawnieniem wsp\u00f3\u0142pracy i uzupe\u0142nieniem mechanizm\u00f3w bezpiecze\u0144stwa znajduj\u0105cych si\u0119 mi\u0119dzy cz\u0142onkami zespo\u0142u, a repozytorium.<\/p>\n

Faza 3: Ci\u0105g\u0142a integracja i budowa.<\/h3>\n

Tworz\u0105c obraz \/ pakiet deweloperski, nale\u017c upewni\u0107 si\u0119, \u017ce narz\u0119dzie lub system do kompilacji posiada odpowiednie zabezpieczenia. Nale\u017cy do nich protok\u00f3\u0142 SSL, kt\u00f3ry jest odpowiednio bezpieczny, dost\u0119pny i chroniony przed atakami. Narz\u0119dzia, kt\u00f3rych mo\u017cna u\u017cy\u0107 to Jenkins, Circle CI, Openshift Pipelines.<\/p>\n

Faza 4: Promocja i wdro\u017cenie.<\/h3>\n

Podczas wdra\u017cania w \u015brodowisku wstaw zmienne \u015brodowiskowe za pomoc\u0105 narz\u0119dzia CI\/CD. Zarz\u0105dzanie kluczami dost\u0119pu polega na automatyzacji udost\u0119pniania i przechowywania kluczy. Pomocne s\u0105 przy tym takie narz\u0119dzia, jak Vault, Conjure, Azure Key Vault. Zalecane jest odpowiednie szyfrowanie i zarz\u0105dzanie nimi w celu ulepszenia protoko\u0142\u00f3w bezpiecze\u0144stwa.<\/p>\n

Faza 5: Bezpiecze\u0144stwo infrastruktury.<\/h3>\n

Tworzenie aplikacji w kontenerach jest \u0142atwym i otwartym procesem, ale ma tak\u017ce wad\u0119: mo\u017ce powodowa\u0107 nieumy\u015blne u\u017cycie sk\u0142adnik\u00f3w oprogramowania innych firm, kt\u00f3re posiadaj\u0105 podatno\u015bci. Dzi\u0119ki ochronie kontener\u00f3w realizowane s\u0105 zasady blokuj\u0105ce u\u017cycie obraz\u00f3w z okre\u015blonymi podatno\u015bciami. Programi\u015bci mog\u0105 nieustannie wykrywa\u0107 podatno\u015bci i korygowa\u0107 je w procesie DevOps, wdra\u017caj\u0105c wtyczki do narz\u0119dzi CI \/ CD, takie jak Jenkins lub Bamboo, lub za po\u015brednictwem interfejs\u00f3w API REST. Rozwi\u0105zania do ochrony kontener\u00f3w oferuj\u0105 np. firmy Rapid7, Qualys czy Aquasec.<\/p>\n

Nale\u017cy pami\u0119ta\u0107, i\u017c gdy gotowy kod trafi do produkcji, nie oznacza to, \u017ce b\u0119dzie on w 100% bezpieczny. Nowe podatno\u015bci ujawniane s\u0105 ka\u017cdego dnia, ale ten cykl pomo\u017ce zespo\u0142owi przetestowa\u0107 kod pod k\u0105tem wszystkich repozytori\u00f3w znanych zagro\u017ce\u0144 (np. CVE, Mitre) w czasie monitorowania, konfigurowania, rekonfiguracji, adaptacji i wdra\u017cania rozwi\u0105za\u0144 w \u015brodowisku.<\/p>\n

Jakie s\u0105 kluczowe aspekty zabezpieczania CI\/CD?<\/h2>\n

Oto najwa\u017cniejsze praktyki przeznaczone dla organizacji, kt\u00f3re chc\u0105 wdro\u017cy\u0107 DevSecOps.<\/p>\n

Platforma i bezpiecze\u0144stwo danych:<\/h3>\n