Exploration du pipeline Secure DevOps
Comme indiqué précédemment, l’objectif d’un pipeline Secure DevOps est de permettre aux équipes de développement de travailler rapidement sans introduire de vulnérabilités indésirables dans leur projet.
Les deux fonctionnalités essentielles des pipelines Azure sécurisés que l’on ne trouve pas dans les pipelines Azure standard sont :
- La gestion des packages et le processus d’approbation qui lui est associé. Le diagramme de workflow précédent décrit d’autres étapes d’ajout de packages logiciels au pipeline et les processus d’approbation par lesquels les packages doivent passés avant d’être utilisés. Ces étapes doivent être mises en œuvre tôt dans le pipeline pour identifier les problèmes de manière précoce dans le cycle.
- Analyseur source est également une autre étape supplémentaire pour l’analyse du code source. Cette étape permet d’analyser la sécurité et de rechercher des vulnérabilités qui ne sont pas présentes dans le code de l’application. L’analyse intervient après la génération de l’application, et avant le test de mise en production et de préversion. L’analyse de la source peut identifier les failles de sécurité plus tôt dans le cycle.
Dans la suite de cette leçon, nous abordons ces deux fonctionnalités essentielles des pipelines Azure sécurisés, les problèmes qu’ils posent et quelques-unes des solutions permettant de les résoudre.