CI/CD est la pierre angulaire de DevOps. L’intégration continue/le développement (ou le déploiement) continu apporte de la valeur à la production de logiciels en introduisant l’automatisation et la surveillance tout au long du cycle de développement. Le pipeline CI/CD définit une série d’étapes que les ingénieurs logiciels suivent pour travailler sur des morceaux de code plus petits, augmentant ainsi la productivité et l’efficacité globales.
Les conditions rapides, automatisées et axées sur la technologie se transforment rapidement en un environnement délaissé par la sécurité. Les administrateurs de sécurité jonglent entre protéger le pipeline et permettre l’agilité. La solution idéale consiste à intégrer la sécurité directement dans le cycle de vie du développement pour éviter les violations potentielles de données.
Vous trouverez ci-dessous une liste de dix bonnes pratiques pour gérer la sécurité CI/CD.
1. Cartographier les menaces
Les points de connexion entre différentes technologies présentent des risques de sécurité. Le pipeline CI/CD contient de nombreux points de connexion sensibles en raison du grand nombre d’outils d’automatisation.
Recherchez les menaces potentielles en identifiant ces emplacements et en ajoutant des couches de sécurité supplémentaires pour garantir que le pipeline reste sécurisé au niveau des coutures. Mettez régulièrement à jour et corrigez tout ce qui se connecte à la ligne de production et bloquez tous les appareils qui ne répondent pas aux normes de sécurité.
2. Git sécurisé
Les systèmes de contrôle de version sont indispensables pour les processus CI/CD. Mauvaise configuration de Git est une mine d’or pour les attaquants car il contient du code source et de la propriété intellectuelle. Une vulnérabilité exposée dans Git entraîne souvent de graves conséquences.
Garantissez un accès sécurisé au système de contrôle de version avec une authentification à deux facteurs. Former les développeurs aux procédures de l’entreprise concernant Git et utiliser le .gitignore fichier correctement.
3. Vérifiez avant de vous engager
Créez une série de contrôles de sécurité avant de valider un code dans un référentiel. Les plugins IDE aident à détecter les vulnérabilités dans le code source en temps réel.
Utilisez également l’évaluation par les pairs, en particulier avec les développeurs inexpérimentés. Créez des listes de contrôle que les développeurs peuvent utiliser pour détecter les problèmes de conformité et garantir la sécurité des données. Assurez-vous qu’aucun mot de passe, clé, jeton ou autre donnée sensible n’est disponible dans le code ou codé en dur.
4. Examiner le code engagé
Revoyez le code après l’avoir validé dans un référentiel. Les outils d’analyse de code statique aident à fournir un aperçu des commits, à générer des rapports et à fournir des conseils utiles sans exécuter l’application.
Utilisez des systèmes de suivi des bogues pour assurer le suivi et la résolution des problèmes. Analysez l’historique de Git pour toute activité suspecte et agissez en conséquence.
5. Surveiller après le déploiement
Intégrez une surveillance continue après le déploiement du logiciel. Une surveillance constante aide à découvrir les activités non intentionnelles et fournit des informations précieuses basées sur des données. Créez des tableaux de bord visuels et des mécanismes d’alerte pour une découverte plus facile.
6. Appliquer les autorisations
Bien que les autorisations ralentissent le processus de test et soient souvent considérées comme une nuisance, assurez-vous qu’elles existent et qu’elles sont obligatoires. Les développeurs doivent se conformer et comprendre la séparation des tâches comme un aspect crucial de la sécurité.
Définissez les rôles d’accès par référentiel et ne fournissez que les données minimales nécessaires pour assurer la continuité de la livraison du pipeline.
7. Identifiants sécurisés
Assurez-vous de protéger les informations d’identification utilisées pour accéder à divers programmes de développement. Les certificats se présentent sous plusieurs formes, telles que des jetons d’API, des clés SSH, des mots de passe, etc. Des informations d’identification mal sécurisées entraînent des vols et des violations de données.
Appliquez la sécurité des clés de chiffrement de manière automatisée via des plateformes de gestion de clés. Utilisez un logiciel de gestion des mots de passe et changez régulièrement les jetons de sécurité.
8. Nettoyer
L’environnement au rythme rapide passe souvent au projet suivant avant d’être complètement nettoyé. Arrêtez toutes les ressources temporaires, telles que les machines virtuelles, les conteneurs et les processus. Supprimez régulièrement les programmes et utilitaires redondants pour éviter d’avoir une porte dérobée et un point d’accès indésirable potentiel.
9. Mettre en œuvre IaC dans le pipeline
L’infrastructure en tant que code (IaC) permet de configurer automatiquement un environnement de développement et de test cohérent. IaC s’intègre de manière transparente dans le pipeline DevOps et permet de créer des configurations réutilisables et des paramètres évolutifs.
10. Rechercher les vulnérabilités Open Source
Les logiciels open source sont essentiels dans la création d’applications. Cependant, un tel logiciel est sujet à des modifications et à des mises à jour de code. Lorsque ces packages reçoivent des mises à jour, des problèmes de sécurité surviennent et ont un impact sur les logiciels qui les utilisent indirectement.
Restez au top des vulnérabilités open source en suivant les composants, les fichiers et les outils tiers. Utilisez des programmes d’analyse de composition logicielle et des outils de suivi des bogues pour surveiller et évaluer toutes les lacunes possibles.
Conclusion
Après avoir lu cet article, vous devriez avoir une bonne idée du fonctionnement de la sécurité CI/CD. En fin de compte, le meilleur moyen est de ne pas submerger les développeurs de directives de sécurité. Au lieu de cela, intégrez la sécurité dans le pipeline lui-même en tant que partie automatisée du processus de développement.