En este informe, se describen los procesos, las herramientas, las prácticas y las técnicas que aumentan la confianza en el ciclo de vida del desarrollo de software (SDLC) a través de la mitigación de las preocupaciones por los riesgos de seguridad. Se analiza cómo mejorar la seguridad de las canalizaciones (de CI/CD) de integración continua y entrega continua por medio de la introducción de prácticas recomendadas para el código fuente, la infraestructura de compilación y empaquetado, los artefactos de software, la infraestructura de entrega y almacenamiento de artefactos y la implementación de artefactos.
Este documento está dirigido a lectores interesados en recopilar comentarios rápidos cuando se evalúa la exposición a las vulnerabilidades de seguridad. Si bien el documento usa ejemplos de imágenes de VM y contenedores diseñados para Kubernetes, los principios se aplican a todas las canalizaciones de desarrollo de software que constan de fases de compilación y de implementación, que incluyen aplicaciones sin servidores y aplicaciones de plataformas como servicio (PaaS).
Descripción general
En este informe, se describe lo siguiente:
- Cómo se adquiere la confianza de forma progresiva por medio de la canalización de CI/CD y cómo se usa para mitigar riesgos de seguridad
- Métodos para proteger el código fuente de los exploits
- Técnicas que aumentan la confianza durante el proceso de compilación y empaquetado
- Mecanismos automáticos para aumentar la confianza en artefactos compilados y empaquetados antes de la implementación
- Cómo establecer aún más la confianza por medio de implementaciones de código en entornos controlados
Para leer el informe completo, haz clic en el botón: