如何保护 CI/CD 管道
How to secure CI/CD pipeline
我确实有一个 CI/CD 管道来将我的 spring 启动应用程序部署到 PCF。它确实有一个作业来调用 shell 脚本以部署到 PCF 环境。我怎样才能确保它不会安装恶意软件,这样黑客就无法搞砸它。
欢迎任何ideas/suggestions。
有两种查看方式(据我所知):
首先是您的 CI/CD 管道构建和部署 您的 应用程序,因此除非您将恶意软件添加到您的应用程序(可能是无意中依赖于受损版本的库),它不会部署恶意软件。
第二个是您绝对可以为您的管道添加自动安全检查,例如通过与静态或动态恶意软件扫描程序集成。您可以在部署之前的某处将其设为管道中的一个阶段,如果扫描器检测到恶意代码,管道就会停止并失败。
(请注意,某些 cloud-based 恶意软件扫描程序(例如 virustotal)会向其服务的所有订阅者提供所有上传的文件,这在某些情况下可能是不可接受的;请务必阅读并理解扫描程序的使用前的服务条款)。
我确实有一个 CI/CD 管道来将我的 spring 启动应用程序部署到 PCF。它确实有一个作业来调用 shell 脚本以部署到 PCF 环境。我怎样才能确保它不会安装恶意软件,这样黑客就无法搞砸它。 欢迎任何ideas/suggestions。
有两种查看方式(据我所知):
首先是您的 CI/CD 管道构建和部署 您的 应用程序,因此除非您将恶意软件添加到您的应用程序(可能是无意中依赖于受损版本的库),它不会部署恶意软件。
第二个是您绝对可以为您的管道添加自动安全检查,例如通过与静态或动态恶意软件扫描程序集成。您可以在部署之前的某处将其设为管道中的一个阶段,如果扫描器检测到恶意代码,管道就会停止并失败。
(请注意,某些 cloud-based 恶意软件扫描程序(例如 virustotal)会向其服务的所有订阅者提供所有上传的文件,这在某些情况下可能是不可接受的;请务必阅读并理解扫描程序的使用前的服务条款)。