Kod dağıtımları

  • Makale
  • Okumak için 3 dakika

Güvenlik güncelleştirmeleri yüksek öncelikli olduğundan, düzenli güncelleştirmeleri ve kritik güvenlik düzeltmelerini destekleyen bir işlem hattı tasarlayın.

Bir yayın, genellikle birden çok oturum açma, kalite kapısı vb. onay işlemleriyle ilişkilendirilir. İş yükü dağıtımı en az onay ile küçükse, genellikle aynı işlem ve işlem hattını kullanarak bir güvenlik düzeltmesini serbest bırakabilirsiniz.

Karmaşık olan ve önemli miktarda zaman alan bir onay süreci, bir onarımı geciktirebilirler. Yüksek öncelikli düzeltmeleri hızlandırmak için bir acil durum işlemi oluşturmayı düşünün. İşlem iş ve veya takımlar arasında iletişim işlemi olabilir. Diğer bir yöntem de, tüm geçitli onayları içermeyen bir işlem hattı oluşturmak, ancak bu işlemi hızla gönderebilmelidir. İşlem hattı, düzenli dağıtım yaşam döngüsü dışında güvenlik düzeltmelerini, kritik hataları ve kod güncelleştirmelerini ele alan hızlı geri alma ve geri alma dağıtımlarına izin verir.

Önemli

Güvenlik düzeltmesinin dağıtımı bir önceliktir, ancak gerileme veya hata tanıtma maliyetinde olmamalıdır. Acil durum ardışık düzeni tasarlarken hangi otomatikleştirilmiş testlerin atlandığını dikkatle değerlendirin. Her testin değerini yürütme zamanına göre değerlendirin. Örneğin, birim testleri genellikle hızlı tamamlanır. Tümleştirme veya uçtan uca testler uzun bir süre çalışabilir.

DevOps işleminin planlanması ve tasarımında güvenlik ekibini de kapsar. Otomatikleştirilmiş ardışık düzen tasarımınızın hem normal hem de acil durum dağıtımlarını destekleme esnekliği olmalıdır. Bu, hem güvenlik düzeltmelerinin hem de diğer acil önemli düzeltmelerin hızlı ve sorumlu uygulamalarının desteklenmesi açısından önemlidir.

Önerilen eylem

Azure Uygulama Hizmetleri dağıtım yuvaları aracılığıyla geri alma senaryoları desteğiyle otomatik bir dağıtım işlemi uygulayın.

Daha fazla bilgi edinin

Azure App Service’ta hazırlık ortamları ayarlama

Kimlik bilgisi tarama

Kimlik bilgileri, anahtarlar ve sertifikalar, iş yükü tarafından kullanılan verilere veya hizmete erişim verir. Kimlik bilgilerinin kodda depolanması önemli bir güvenlik riski oluşturur. Statik kod tarama araçlarının sürekli tümleştirme (CI) sürecinin tümleşik bir parçası olduğundan emin olun.

Kod tarama araçları bu iş yükü için sürekli tümleştirme (CI) işleminin tümleşik bir parçasıdır mi?

Kimlik bilgilerinin kaynak kodda veya yapılandırma dosyalarında depolanmasını engellemek için, CI/CD işlem hattı içinde kod tarama araçlarını tümleştirin:

  • Tasarım zamanı sırasında kimlik bilgilerinin kaynak kodu deposuna itilmasını engellemek için kod Çözümleyicileri kullanın. örneğin, .NET Compiler Platform (roslyn) çözümleyiciler, C# veya Visual Basic kodunuzu inceler.
  • Yapı işlemi sırasında, kaynak kodundaki kimlik bilgilerini yakalamak için işlem hattı eklentilerini kullanın. bazı seçenekler GitHub gelişmiş güvenlik ve owasp kaynak kodu çözümleme araçlarınıiçerir.
  • CI sürecinin bir parçası olarak, üçüncü taraf kitaplıkları ve Framework bileşenleri gibi tüm bağımlılıkları tarayın. Araç tarafından işaretlenen güvenlik açığı olan bileşenleri araştırın. Bu görevi, kod karmaşası, test sonuçları ve kapsamı denetleyen diğer kod tarama görevleriyle birleştirin.
  • Dinamik uygulama güvenliği testi (DAVST) ve statik uygulama güvenliği testi (SAST) birleşimini kullanın. DAVST, kullanımda iken uygulamayı sınar. SAST, kaynak kodu tarar ve kendi tasarımına veya uygulamasına göre güvenlik açıklarını algılar. Bazı teknoloji seçenekleri OWASP tarafından sağlanmaktadır. Daha fazla bilgi için bkz. SAST araçları ve güvenlik açığı tarama araçları.
  • İş yükü tarafından kullanılan teknolojilerde uzmanlaşmış tarama araçlarını kullanın. Örneğin, iş yükü Kapsayıcılı ise, kapsayıcı kayıt defterinde, kullanılmadan önce ve kullanım sırasında riskleri algılamak için kapsayıcı kullanan tarama araçlarını çalıştırın.

Önerilen Eylemler

Azure araç seti 'nde güvenli DevOps ve kuruluşun Web App Security Project (owasp) veya eşdeğer bir temel kuruluş tarafından yayımlanan kılavuza ekleyin.

Daha fazla bilgi edinin

Ana makaleye geri dönün: Azure 'Da güvenli dağıtım ve test

Otomatik derleme ve yayın işlem hatları, bağımlılıkları koparmadan yeni bir sürüme sorunsuz bir şekilde güncelleştirmelidir. Yüksek öncelikli düzeltmelerin hızlı bir şekilde dağıtılmasını sağlayan işlemlerle Otomasyonu güçlendirin.

Kuruluşlar, sıfırdan başlamak yerine buluttaki uygulamaları güvenli hale getirirken mevcut kılavuzlardan ve otomasyondan faydalanır. Bu modellerin erken benimsediği dış kuruluşlar tarafından öğrenilen kaynak ve derslerin kullanılması, bir kuruluşların güvenlik duruşunun, efor ve kaynakları daha az harcamasına sahip bir şekilde gelişmesini hızlandırabilir.

Önemli noktalar

  • güvenlik riskine karşı önleyici ve algılayan denetimleri bütünleştirmek için DevOps işleminin planlanması ve tasarımında güvenlik ekibini dahil edin.
  • Hızlı geri alma ve geri alma dağıtımlarının, normal dağıtım yaşam döngüsü dışındaki kritik hataları ve kod güncelleştirmelerini adreslamasına izin veren otomatik dağıtım işlem hatları tasarlayın.
  • CI/CD işlem hattı içinde kod tarama araçlarını tümleştirin.

Geri alma ve iletme

Bir şeyler yanlış olursa, işlem hattı önceki bir çalışma sürümüne geri alınmalıdır. N-1 ve N + 1, geri alma ve geri iletme sürümlerine başvurur. Otomatik dağıtım işlem hatları, hızlı geri alma ve geri alma dağıtımlarının, normal dağıtım yaşam döngüsü dışındaki kritik hataları ve kod güncelleştirmelerini ele alması için izin verilmelidir.

N-1 veya N + 1 sürümleri, üretim ortamında N geçerli dağıtım sürümü olduğu için otomatik işlem hatları aracılığıyla dağıtılabilir mi?