CircleCI 为主流 CI/CD 管道发布新的安全集成 ORB

阅读数:1706 2019 年 10 月 24 日 08:00

CircleCI为主流CI/CD管道发布新的安全集成ORB

CircleCI 发布新的 ORB(对象请求代理),用于增加 CI/CD 管道的安全性。该版本新增的 ORB 包括漏洞扫描、秘钥管理、许可扫描和数字扫描,可以与 AWS 和谷歌云集成。

ORB 是一种可共享的组件,它将命令、执行器和作业组合成单个可重用块。之前,CircleCI 为通用的 Kubernetes 工作流发布了一些 ORB。

最新版本增加了新的 ORB,涵盖了 CI/CD 管道的三个主要安全实践,它们是:

  1. 安全的管道配置;
  2. 代码和 Git 历史分析;
  3. 安全策略实施。

为了确保管道配置是安全的,CircleCI 允许在多个位置存储管道秘钥。CircleCI 产品经理 Alexey Klochay 解释说:

在 CircleCI 上,你可以选择使用静态加密的环境变量,或者使用上下文。上下文可用于跨项目访问环境变量。它们的使用权限也可以被限制到特定安全组成员,安全组由组织管理员负责定义。另一种选择是使用第三方解决方案,动态地从安全存储中获取秘钥。

为了支持第三方解决方案方法,添加了新的 ORB,以便与 AWS Parameter Store CryptoMove Fortanix 集成。为了能够在 GCP 中对容器镜像进行签名和认证,还与 GCP Binary Authorization 进行了集成。

要想知道 Git 存储库是否包含了敏感信息,Klochay 建议使用 Trufflehog GitLeaks 。这两种工具都可用于扫描代码库,查找之前的代码提交中是否包含秘钥。

CircleCI 已经发布了一些与漏洞发现相关的 ORB。这些附加功能涵盖了静态应用程序安全性测试(SAST)和动态应用程序安全性测试(DAST)技术。SAST 工具会检查应用程序代码库,分析代码和漏洞的依赖关系。DAST 技术将在应用程序或容器的活动实例上执行类似的扫描,这样可以捕获在运行时加载的依赖项。CircleCI 在这个版本中提供了一些漏洞扫描 ORB,包括 Alcide.io NeuVector Snyk WhiteSource 、和 Probely

为了解决与业务相关的漏洞和合规性问题,CircleCI 提供了有助于实施安全策略的 ORB,可以对在每个构建中进行评估的业务实践进行编码化。 Aqua Security NowSecure Twistlock 是新增的一些 ORB 附加组件,为策略实施提供支持。

CircleCI 安全工程师 Tad Whitaker 说:

将这些 DevSecOps ORB 插入到开发人员的 CI/CD 管道中,可以确保上游的安全性,从而为下游提供更多的保护。在 CI 中进行安全测试,并使其自动化,让它成为用户的习惯。

2019 年 DevOps 报告也提到了这个观点,报告发现,“将安全性深入集成到软件交付生命周期中,这让团队对安全性的信心增加了两倍多”。

CircleCI 副总裁 Michael Stahnke 在与 InfoQ 的一次访谈中进一步阐述了这一点,他说,当协作和集成程度越高,安全性就越好。但是,Stahnke 解释说,增强安全性需要更多的时间和金钱投入,但不一定会得到与处理其他非功能性需求相同的结果。Stahnke 表示,帮助企业摆脱这个困境是这一系列 ORB 的目标之一。

CircleCI 提供了有关如何使用和发布 ORB 的文档。用户可以在 ORB 注册表中查看当前的 ORB 清单。目前可以在云提供商的免费和付费产品中使用 ORB。更多有关新加入的合作伙伴和 ORB 的信息,请查看 CircleCI 的官方公告

原文链接

CircleCI Adds Security Integrations to Streamline Securing CI/CD Pipelines

评论

发布