En este informe, se describen los procesos, las herramientas, las prácticas y las técnicas que aumentan la confianza en el ciclo de vida del desarrollo de software (SDLC) mediante la mitigación de los riesgos de seguridad. Se analiza cómo mejorar la seguridad de las canalizaciones de integración continua y entrega continua (CI/CD) mediante la introducción de prácticas recomendadas para código fuente, la infraestructura de compilación y empaquetado, artefactos de software, infraestructura de entrega y almacenamiento de artefactos, e implementación de artefactos.
Este documento está dirigido a lectores interesados en recopilar comentarios rápidos cuando se evalúa la exposición a las vulnerabilidades de seguridad. Si bien el documento usa ejemplos de imágenes de VM y contenedores diseñados para Kubernetes, los principios se aplican a todas las canalizaciones de desarrollo de software que constan de fases de compilación y de implementación, que incluyen aplicaciones sin servidores y aplicaciones de plataformas como servicio (PaaS).
Descripción general
En este informe, se describen lo siguiente:
- Cómo se adquiere la confianza de forma progresiva mediante la canalización de CI/CD y se usa para mitigar riesgos de seguridad
- Métodos para proteger el código fuente de las vulnerabilidades
- Técnicas que aumentan la confianza durante el proceso de compilación y empaquetado
- Mecanismos automáticos para aumentar la confianza en artefactos compilados y empaquetados antes de la implementación
- Cómo establecer aún más la confianza mediante implementaciones de código en entornos controlados
Para leer el informe completo, haz clic en el botón: