【技术实现步骤摘要】
一种自动化DevSecOps CD流水线配置方法
[0001]本专利技术涉及容器
,尤其涉及一种自动化DevSecOps CD流水线配置方法。
技术介绍
[0002]DevOps是Development(开发)和Operations(运维)的组合,在敏捷开发流程的基础上演进而来的。其特点是重视软件开发人员和运维人员的沟通合作,通过自动化流程使软件构建、测试、发布更加迅速和可靠。DevOps在流程上分为CI和CD两个部分,分别是持续集成(Continuous Integration)和持续交付(Continuous Delivery)。DevSecOps是云原生应用开发自动化流程向应用安全领域的自然拓展,它将持续安全流程并入到传统CI/CD过程中,形成持续集成、持续安全、持续交付的全流程。
[0003]持续交付是Continuous Delivery的简称,是持续集成之后进行的一个大步骤,它指的是开发人员频繁地将软件的新版本交付给质量团队或者最终用户,由质量团队或用户使用。持续交付强调的是,不管软件怎么更新,软件...
【技术保护点】
【技术特征摘要】
1.一种自动化DevSecOps CD流水线配置方法,其特征在于,所述方法包括:步骤S1:当完成软件版本在集成环境中的部署后,在DevSecOps CD流水线上通过扫描云原生平台配置和使用规则对云原生平台进行安全检测;步骤S2:对通过安全检测的云原生平台上的云原生应用进行常规功能测试、漏洞扫描以及安全渗透测试;步骤S3:通过扫描通过步骤S2测试的云原生应用的架构配置及所依赖的中间件对云原生应用进行安全检测,将通过安全检测的云原生应用部署或升级到生产环境中;步骤S4:在生产环境中对云原生应用的审计配置进行安全检测。2.根据权利要求1所述的自动化DevSecOps CD流水线配置方法,其特征在于,步骤S1中,在DevSecOps CD流水线上通过扫描云原生平台配置和使用规则对云原生平台进行安全检测,包括:步骤S11:对云原生平台的用户权限配置进行安全检测,当检测到存在使用root账号执行命令、未配置密码复杂度策略、未配置密码更改周期、root未采用证书方式登录中任一项不安全配置时,判定云原生平台的用户权限配置不安全;步骤S12:对通过用户权限安全检测的云原生平台进行文件权限配置的安全检测,当检测到存在云原生应用可执行程序以root身份启动、关键位置未设置不可修改位、文件的可执行权限位设置为SUID权限中任一项不安全配置时,判定云原生平台的文件权限配置不安全;步骤S13:对通过文件权限安全检测的云原生平台进行容器平台配置的安全检测,当检测到存在kube
‑
apiserver未启用安全认证策略、kube
‑
apiserver未关闭AlwaysAllow和AlwaysAdmin配置、ETCD未开启数据加密和TLS访问认证、单个主机节点中的kubelet进程未开启CA认证、主机节点上的kubelet进程未关闭只读接口、未启用RBAC访问中任一项不安全配置时,判定云原生平台的容器平台配置不安全。3.根据权利要求1所述的自动化DevSecOps CD流水线配置方法,其特征在于,步骤S12中的关键位置包括/etc、/bin、/lib、/root目录。4.根据权利要求1所述的自动化DevSecOps CD流水线配置方法,其特征在于,步骤S3中,通过扫描通过步骤S2测试的云原生应用的架构配置及所依赖的中间件对云原生应用进行安全检测,包括:步骤S31:对云原生应用所依赖的中间件进行安全检测,当检测到存在未采用云服务中间件、云服务中间件未添加访问密码、未对云服务中间件启用外网隔离中的任一项时,判定云原生应用所依赖的中间件不安全;步骤S32:对通过中间件安全检测的云原生应用的架构配置进行安全检测,当检测到存在未关闭XML外部实体解析、应用层实现中使用SQL拼接、应用接口实现中未对参数长度和参数字符进行检查判断、未对Web头部进行Token校验、未对Token设置有效期、Web对外接口未使用HTTPS连接中的任一项时,判定云原生应用的架构配置不安全;步骤S33:对通过架构配置安全检测的云原生应用所对应的Pod的Pod配置进行安全检测。5.根据权利要求4所述的自动化DevSecOps CD流水线配置方法,其特征在于,步骤S33包括:
当检测到存在云原生应用未运行在自定义的Namespa...
【专利技术属性】
技术研发人员:李学峰,
申请(专利权)人:中电云数智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。