Erkunden der Secure DevOps-Pipeline
Wie bereits erwähnt, besteht das Ziel einer Secure DevOps-Pipeline darin, Entwicklungsteams ein schnelles Arbeiten zu ermöglichen, ohne dass unerwünschte Sicherheitsrisiken in ihr Projekt eingeführt werden.
Sichere Azure-Pipelines weisen zwei wesentliche Merkmale auf, die in standardmäßigen Azure-Pipelines nicht zu finden sind:
- Paketverwaltung und zugeordneter Genehmigungsprozess. Das vorangegangene Workflowdiagramm beschreibt weitere Schritte für das Hinzufügen von Softwarepaketen zur Pipeline und die Genehmigungsprozesse, die Pakete vor ihrer Verwendung durchlaufen müssen. Diese Schritte sollten frühzeitig in der Pipeline umgesetzt werden, um Probleme möglichst früh im Zyklus zu erkennen.
- Quellenüberprüfung ist ebenfalls ein zusätzlicher Schritt zum Prüfen des Quellcodes. Dieser Schritt ermöglicht eine Sicherheitsüberprüfung und die Suche nach Sicherheitsrisiken, die nicht im Anwendungscode vorliegen. Die Überprüfung erfolgt nach der Erstellung der App, aber vor den Release- und Prereleasetests. Durch das Überprüfen des Quellcodes können Sicherheitsrisiken zu einem früheren Zeitpunkt im Zyklus erkannt werden.
Im weiteren Verlauf dieser Lerneinheit befassen wir uns mit diesen beiden wesentlichen Merkmalen von sicheren Azure-Pipelines, den damit verbundenen Problemen und einigen Lösungen für diese Probleme.