Mengalihkan ke kiri dalam keamanan: Mengamankan supply chain software

Laporan resmi ini berfokus pada proses, alat, praktik, dan teknik yang meningkatkan kepercayaan diri pada siklus proses pengembangan software (SDLC) dengan memitigasi masalah risiko keamanan. Panduan ini membahas cara meningkatkan keamanan pipeline continuous integration dan continuous delivery (CI/CD) dengan memperkenalkan praktik terbaik untuk kode sumber, infrastruktur build dan paket, artefak software, infrastruktur penyimpanan dan penyaluran artefak, dan deployment artefak.

Dokumen ini ditujukan bagi pembaca yang tertarik untuk mengumpulkan masukan dengan cepat saat menilai eksposur terhadap kerentanan keamanan. Meskipun dokumen tersebut digunakan sebagai contoh image dan container VM yang didesain untuk Kubernetes, prinsip ini berlaku untuk semua pipeline pengembangan software yang terdiri dari fase build dan deployment, termasuk aplikasi tanpa server dan aplikasi platform-as-a-service (PaaS).

Ringkasan

Laporan resmi ini menguraikan hal-hal berikut:

  • Bagaimana kepercayaan secara bertahap diperoleh melalui pipeline CI/CD dan digunakan untuk mengurangi risiko keamanan
  • Metode untuk melindungi kode sumber dari eksploit
  • Teknik yang meningkatkan kepercayaan selama proses build dan paket
  • Mekanisme otomatis untuk meningkatkan kepercayaan pada artefak yang dibangun dan artefak terpaket sebelum deployment
  • Cara membangun kepercayaan lebih lanjut melalui deployment kode lingkungan terkontrol

Untuk membaca laporan resmi lengkap, klik tombol:

Download PDF