CircleCI为主流CI/CD管道发布新的安全集成ORB

2019 年 10 月 24 日

CircleCI为主流CI/CD管道发布新的安全集成ORB

CircleCI发布新的 ORB(对象请求代理),用于增加 CI/CD 管道的安全性。该版本新增的 ORB 包括漏洞扫描、秘钥管理、许可扫描和数字扫描,可以与 AWS 和谷歌云集成。


ORB是一种可共享的组件,它将命令、执行器和作业组合成单个可重用块。之前,CircleCI 为通用的 Kubernetes 工作流发布了一些 ORB。


最新版本增加了新的 ORB,涵盖了 CI/CD 管道的三个主要安全实践,它们是:


  1. 安全的管道配置;

  2. 代码和Git历史分析;

  3. 安全策略实施。


为了确保管道配置是安全的,CircleCI 允许在多个位置存储管道秘钥。CircleCI 产品经理 Alexey Klochay 解释说:


在CircleCI上,你可以选择使用静态加密的环境变量,或者使用上下文。上下文可用于跨项目访问环境变量。它们的使用权限也可以被限制到特定安全组成员,安全组由组织管理员负责定义。另一种选择是使用第三方解决方案,动态地从安全存储中获取秘钥。


为了支持第三方解决方案方法,添加了新的 ORB,以便与AWS Parameter StoreCryptoMoveFortanix集成。为了能够在 GCP 中对容器镜像进行签名和认证,还与GCP Binary Authorization进行了集成。


要想知道 Git 存储库是否包含了敏感信息,Klochay 建议使用TrufflehogGitLeaks。这两种工具都可用于扫描代码库,查找之前的代码提交中是否包含秘钥。


CircleCI 已经发布了一些与漏洞发现相关的 ORB。这些附加功能涵盖了静态应用程序安全性测试(SAST)和动态应用程序安全性测试(DAST)技术。SAST 工具会检查应用程序代码库,分析代码和漏洞的依赖关系。DAST 技术将在应用程序或容器的活动实例上执行类似的扫描,这样可以捕获在运行时加载的依赖项。CircleCI 在这个版本中提供了一些漏洞扫描 ORB,包括Alcide.ioNeuVectorSnykWhiteSource、和Probely


为了解决与业务相关的漏洞和合规性问题,CircleCI 提供了有助于实施安全策略的 ORB,可以对在每个构建中进行评估的业务实践进行编码化。Aqua SecurityNowSecureTwistlock是新增的一些 ORB 附加组件,为策略实施提供支持。


CircleCI 安全工程师 Tad Whitaker 说:


将这些DevSecOps ORB插入到开发人员的CI/CD管道中,可以确保上游的安全性,从而为下游提供更多的保护。在CI中进行安全测试,并使其自动化,让它成为用户的习惯。


2019 年DevOps报告也提到了这个观点,报告发现,“将安全性深入集成到软件交付生命周期中,这让团队对安全性的信心增加了两倍多”。


CircleCI 副总裁 Michael Stahnke 在与 InfoQ 的一次访谈中进一步阐述了这一点,他说,当协作和集成程度越高,安全性就越好。但是,Stahnke 解释说,增强安全性需要更多的时间和金钱投入,但不一定会得到与处理其他非功能性需求相同的结果。Stahnke 表示,帮助企业摆脱这个困境是这一系列 ORB 的目标之一。


CircleCI 提供了有关如何使用和发布 ORB 的文档。用户可以在ORB注册表中查看当前的 ORB 清单。目前可以在云提供商的免费和付费产品中使用 ORB。更多有关新加入的合作伙伴和 ORB 的信息,请查看 CircleCI 的官方公告


原文链接


CircleCI Adds Security Integrations to Streamline Securing CI/CD Pipelines


2019 年 10 月 24 日 08:001976

评论

发布
暂无评论
发现更多内容

Serverless 应用引擎的远程调试和云端联调

阿里巴巴云原生

Java Serverless 云原生 后端

浅谈互斥锁与进程间的通信(举例说明)

ShenDu_Linux

Linux 程序员 架构师 进程线程区别

爆买剁手之后,我们的快乐为什么越来越贬值?

脑极体

架构师 3 期 3 班 -week2- 作业

zbest

作业 week2

在K8S/OpenShift上开发应用程序的14种最佳实践

东风微鸣

Kubernetes 最佳实践 k8s最佳实践 openshift

cncf serverless 所有项目全解读

coldTea214

云计算 Serverless 容器云 cncf

LeetCode题解:455. 分发饼干,贪心while循环,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

同步与异步,回调与协程

Linux服务器开发

线程 协程 后端开发 底层应用开发 Linux服务器开发

区块链技术应用打造智慧物流

13828808769

区块链技术应用开发

设备常用网管配置举例

网络技术平台

OPPO技术开放日第六期丨OPPO安全解析“应用与数据安全防护”背后的技术

OPPO安全

OPPO安全

技术应用丨DWS 空间释放(vacuum full) 最佳实践

华为云开发者社区

内存 存储 磁盘

区块链在国际贸易领域应用的法律问题

CECBC区块链专委会

区块链

为什么从蚂蚁离职?base拉胯,高潜也被倒挂,就是酸,忍不了

Java架构师迁哥

你敢信?就是这个Netty的网络框架差点把我整疯了,哭jj

小Q

学习 编程 面试 Netty 网络

从零做网站开发:基于Flask和JQuery,实现表格管理平台

华为云开发者社区

jquery flask 框架

架构师 3 期 3 班 -week2- 总结

zbest

总结 week2

linux后台开发必知的linux系统内存知识总结

linux大本营

c++ Linux 后台开发 架构师 内存管理

中国CRM突围指南

ToB行业头条

CRM

大企软件系统问题多?归乡名企工程师:解决很简单,分分钟做个新系统

Learun

敏捷开发 快速开发 企业开发 CRM 企业应用

进一步深挖工业数据价值

CECBC区块链专委会

数据安全;工业互联网

王者荣耀如何使用UDP做到低延迟

linux亦有归途

精彩回顾 | 一张图读懂OPPO应用与数据安全防护

OPPO安全

OPPO安全

年轻人快来学习TCP 协议如何解决粘包、半包问题!

程序员小灰

c++ Linux TCP 后台开发 Linux服务器开发

「云原生上云」后的聚石塔是如何应对 双11 下大规模应用挑战的

阿里巴巴云原生

阿里云 云原生

关于物联网规则引擎技术,你想要知道的都在这儿!

华为云开发者社区

数据 联动 iotda

《迅雷链精品课》第九课:区块链P2P网络

迅雷链

区块链

当居住空间被智能包裹:OTA智能社区改变了什么?

脑极体

测试过程中如何快速定位一个bug

测试人生路

软件测试

深入了解进程间通信:System V信号量+共享内存

ShenDu_Linux

Linux 进程 内存管理 通信协议

数字货币将带来怎样的“革命”

CECBC区块链专委会

数字货币 货币

CircleCI为主流CI/CD管道发布新的安全集成ORB-InfoQ