Este relatório técnico centra-se nos processos, ferramentas, práticas e técnicas que aumentam a confiança no ciclo de vida de desenvolvimento de software (SDLC) através da mitigação de preocupações com riscos de segurança. Aborda a forma de melhorar a segurança dos pipelines de integração contínua e entrega contínua (CI/CD) através da introdução de práticas recomendadas para o código fonte, a infraestrutura de compilação e embalagem, os artefactos de software, o armazenamento e a infraestrutura de fornecimento de artefactos, bem como a implementação de artefactos.
Este documento destina-se a leitores interessados em recolher feedback rápido ao avaliar a exposição a vulnerabilidades de segurança. Embora o documento use imagens de VMs e contentores concebidos para o Kubernetes como exemplos, os princípios são aplicáveis a todos os pipelines de desenvolvimento de software que consistam em fases de criação e implementação, incluindo aplicações sem servidor e aplicações de plataforma como serviço (PaaS).
Vista geral
Este relatório técnico descreve o seguinte:
- Como a confiança é adquirida progressivamente através do pipeline de CI/CD e usada para mitigar os riscos de segurança
- Métodos para proteger o código-fonte contra explorações
- Técnicas que aumentam a confiança durante o processo de criação e embalagem
- Mecanismos automáticos para aumentar a confiança nos artefactos criados e nos artefactos em pacotes antes da implementação
- Como estabelecer ainda mais confiança através de implementações de código em ambiente controlado
Para ler o relatório técnico completo, clique no botão: