共计 1435 个字符,预计需要花费 4 分钟才能阅读完成。
在过来的几年中,企业平安威逼层出不穷,局势越来越严厉。黑客尝试毁坏开发流程上游的依赖项和工程零碎,相似的高级攻打会影响整个开发环境和软件供应链。比方,最近的一个例子产生在一家软件供应商,其开发人员工作流程和软件供应链被攻打,攻击者取得拜访权限后,将新图像上传到扫描其软件供应链的数千个版本中,提取秘密,并扩充破绽。
由此看来,仅仅在 DevOps 工作流程上集成安全性是远远不够的,而应该增强和爱护工作流程本身的安全性。问题来了——如何爱护上游开发环境呢?
GitHub Codespaces
GitHub Codespaces 解决方案可能让开发人员在沙盒环境中与不受信赖的代码进行平安交互,可在任何中央和任何设施上应用。治理用户权限、在正确的地位存储加密的信息、施行 GPG 验证,都因 GitHub Codespaces 而变得前所未有的简略和疾速。开发团队能够在 10 秒内从零开始进入到失常运行的开发环境。开发人员能够为并行工作流拆散出新的代码空间,而无需任何开销。在确保安全合规的同时,助力开发者生产力晋升。
GitHub Actions
除了开发者的机器,企业还须要爱护 DevOps 工作流程。GitHub Actions 能够帮忙开发团队轻松创立平安和自动化的工作流程,以构建、测试、打包、公布和部署应用程序到 Azure 或其余云。Azure 提供了丰盛的 GitHub Actions 集成,帮忙开发者采纳“所有皆代码”(“everything as-code”)的 DevOps 模型——合规和安全策略、构建和公布管道等都用代码模式编写,从而实现继续的改良、更好的重用性和更高的透明度。
后面提到了日益简单的平安危险,而更简单的是,开发团队必须在 GitHub 中存储 Azure 服务主体秘密数据,既冗余又会减少被篡改的危险。近期,微软发表了一系列预览版性能,使开发人员可能确保代码平安地被部署到 Azure,而无需在 GitHub 中长时间存储凭据。
通过最新的 Azure 和 GitHub 集成从开发人员环境中删除凭据
一个增强抵挡攻打的要害策略是:从开发环境中删除长期存在的 Azure 凭据——当初,应用 Azure AD 工作负载联结身份验证性能,您能够从 GitHub repo 部署到 Azure,无需创立、存储或治理 Azure AD 应用程序的凭据。新性能加重了在 GitHub 秘密存储中治理 Azure 服务主体秘密和其余长期存在的云凭据的须要。通过此集成,您能够在 Azure 中平安地治理所有云资源拜访。这些性能还能够最大限度地缩小因为 GitHub 中的凭据过期而导致服务停机的可能性。
设置 OpenID Connect(OIDC)与 Azure AD 和 GitHub Actions 的集成
实现此设置,您须要:
- 具备服务主体的 Active Directory 应用程序,该服务主体对您的订阅具备贡献者拜访权限
- 一个配置了联结凭据的 Active Directory 应用程序,以信赖 GitHub Actions 向您的 GitHub 存储库公布的 tokens。您能够在 Azure 门户中或应用 Microsoft Graph REST API 进行配置
- 一个 GitHub Actions 工作流,它向工作流申请 GitHub 收回 tokens,并应用 azure/login@v1.4.0 操作
介绍了这么多咱们的解决方案,回到文章结尾的问题,您是否有其余爱护上游开发环境的办法呢?欢送下方留言区与咱们分享见解或提出您对本文的问题!也欢送扫描下方二维码,理解更多 DevSecOps
理解更多 DevSecOps