CircleCI發佈新的ORB(對象請求代理),用於增加CI/CD管道的安全性。該版本新增的ORB包括漏洞掃描、祕鑰管理、許可掃描和數字掃描,可以與AWS和谷歌雲集成。
ORB是一種可共享的組件,它將命令、執行器和作業組合成單個可重用塊。之前,CircleCI爲通用的Kubernetes工作流發佈了一些ORB。
最新版本增加了新的ORB,涵蓋了CI/CD管道的三個主要安全實踐,它們是:
- 安全的管道配置;
- 代碼和Git歷史分析;
- 安全策略實施。
爲了確保管道配置是安全的,CircleCI允許在多個位置存儲管道祕鑰。CircleCI產品經理Alexey Klochay解釋說:
在CircleCI上,你可以選擇使用靜態加密的環境變量,或者使用上下文。上下文可用於跨項目訪問環境變量。它們的使用權限也可以被限制到特定安全組成員,安全組由組織管理員負責定義。另一種選擇是使用第三方解決方案,動態地從安全存儲中獲取祕鑰。
爲了支持第三方解決方案方法,添加了新的ORB,以便與AWS Parameter Store、CryptoMove和Fortanix集成。爲了能夠在GCP中對容器鏡像進行簽名和認證,還與GCP Binary Authorization進行了集成。
要想知道Git存儲庫是否包含了敏感信息,Klochay建議使用Trufflehog或GitLeaks。這兩種工具都可用於掃描代碼庫,查找之前的代碼提交中是否包含祕鑰。
CircleCI已經發布了一些與漏洞發現相關的ORB。這些附加功能涵蓋了靜態應用程序安全性測試(SAST)和動態應用程序安全性測試(DAST)技術。SAST工具會檢查應用程序代碼庫,分析代碼和漏洞的依賴關係。DAST技術將在應用程序或容器的活動實例上執行類似的掃描,這樣可以捕獲在運行時加載的依賴項。CircleCI在這個版本中提供了一些漏洞掃描ORB,包括Alcide.io、NeuVector、Snyk、WhiteSource、和Probely。
爲了解決與業務相關的漏洞和合規性問題,CircleCI提供了有助於實施安全策略的ORB,可以對在每個構建中進行評估的業務實踐進行編碼化。Aqua Security、NowSecure和Twistlock是新增的一些ORB附加組件,爲策略實施提供支持。
CircleCI安全工程師Tad Whitaker說:
將這些DevSecOps ORB插入到開發人員的CI/CD管道中,可以確保上游的安全性,從而爲下游提供更多的保護。在CI中進行安全測試,並使其自動化,讓它成爲用戶的習慣。
2019年DevOps報告也提到了這個觀點,報告發現,“將安全性深入集成到軟件交付生命週期中,這讓團隊對安全性的信心增加了兩倍多”。
CircleCI副總裁Michael Stahnke在與InfoQ的一次訪談中進一步闡述了這一點,他說,當協作和集成程度越高,安全性就越好。但是,Stahnke解釋說,增強安全性需要更多的時間和金錢投入,但不一定會得到與處理其他非功能性需求相同的結果。Stahnke表示,幫助企業擺脫這個困境是這一系列ORB的目標之一。
CircleCI提供了有關如何使用和發佈ORB的文檔。用戶可以在ORB註冊表中查看當前的ORB清單。目前可以在雲提供商的免費和付費產品中使用ORB。更多有關新加入的合作伙伴和ORB的信息,請查看CircleCI的官方公告。
原文鏈接:
CircleCI Adds Security Integrations to Streamline Securing CI/CD Pipelines