Зачем нужно CD/CI Security,
или что делать, когда труба течет?

В статье описаны различные способы атак на CI/CD пайплайн, и некоторые способы защиты, такие как системы Provenance и Trillian.

CI/CD, DevSecOps и прочие пироги

Уже давно разработчики полагаются на DevOps-подход, чтобы повысить уровень гибкости, качества, а главное – скорости и простоты исправления ошибок и выпуска новых релизов ПО. Одной из ключевых практик (или пайплайнов, от «pipeline»), нацеленных на это, является «Непрерывная интеграция и непрерывная поставка», или CI/CD (Continuous Integration, Continuous Delivery).

Если кратко, то CI упаковывает, тестирует сборки и оповещает разработчиков, если что-то пошло не так, а CD автоматически разворачивает приложения и выполняет дополнительные тесты. Вместе же эти практики позволяют разработчикам сфокусироваться на улучшении и тестировании приложения, не тратя силы на его развертывание.

<...>

Ключевые слова: утечки, пайплайн CI/CD, логи, уязвимости, атаки, контроль компонент

Полную версию статьи читайте в журнале
Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи