CI/CD Pipeline 安全整合與 DevSecOps 實踐

14 分鐘閱讀

現代軟體開發強調快速交付,CI/CD 流程扮演著關鍵角色。然而,速度不能犧牲安全性。本文深入探討如何在 CI/CD Pipeline 中整合安全工具與實踐,涵蓋靜態應用程式安全測試(SAST)、動態應用程式安全測試(DAST)以及軟體組成分析(SCA),並以 Ansible 為例,說明如何運用自動化組態管理提升安全性。同時,文章也涵蓋了生產環境下的秘密管理及威脅情報等重要議題,提供建構安全可靠的 DevSecOps 流程的完整。

示例 CI/CD 管線

以下是一個示例 CI/CD 管線,其中包含一個 SCA 步驟:

name: MyApp CI/CD Pipeline
on:
  push:
    branches: [ master ]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Build and test
        run: |
          npm install
          npm test
      - name: Run SCA
        uses: snyk/actions@v1
        with:
          file: package.json
          args: --severity-threshold=high
      - name: Deploy to production
        if: github.ref == 'refs/heads/master'
        run: deploy.sh

在這個示例中,SCA 工具使用 Snyk GitHub Action 來掃描 package.json 檔案,並報告任何嚴重性為「高」的漏洞。如果任何漏洞被識別,管線將會失敗,並通知開發人員採取行動。

Secure Pipeline:打造安全的軟體開發流程

在現代軟體開發中,安全性是一個至關重要的方面。為了確保應用程式的安全性,開發團隊需要建立一個安全的 pipeline 流程。這個流程包括多個階段,從原始碼管理到佈署,均需嚴格把關,以確保應用程式不會因為安全漏洞而導致資料洩露或其他安全問題。

1. 原始碼管理(Source Code Management)

開發人員使用原始碼管理工具,如 Git 或 SVN,來管理應用程式的原始碼。這些工具可以幫助開發人員追蹤原始碼的變更、合作開發以及版本控制。

2. 編譯(Build)

應用程式的原始碼被編譯成可執行的程式碼。這個過程通常使用 Maven 或 Gradle 等編譯工具來完成。

3. 靜態分析(Static Analysis)

靜態分析工具(如 SAST 工具)被用來掃描原始碼,尋找安全漏洞和錯誤。這個步驟可以幫助開發人員在早期發現和修復問題,避免潛在的安全風險。

4. 單元測試(Unit Testing)

開發人員撰寫單元測試,以確保應用程式按照預期運作,並捕捉任何錯誤或漏洞。

5. 動態分析(Dynamic Analysis)

動態分析工具(如 DAST 工具)被用來測試正在執行的應用程式,找出任何安全漏洞。

6. 產物儲存函式庫(Artifact Repository)

應用程式及其依賴項被儲存於產物儲存函式庫中,如 JFrog 或 Nexus。

7. 預發布環境(Staging Environment)

應用程式被佈署到預發布環境中,以進行進一步的測試和驗證。

8. 合規性檢查(Compliance Check)

合規性工具被用來檢查應用程式是否符合相關法規和安全標準。

9. 批准(Approval)

應用程式經過審查和批准後,才會被佈署到生產環境。

Secure Pipeline 的實踐

要建立一個安全的 pipeline 流程,開發團隊可以遵循以下步驟:

步驟 1:設定版本控制

使用版本控制系統,如 Git,來管理應用程式的原始碼。限制存取許可權,並使用強大的身份驗證和授權機制來保護存取許可權。

步驟 2:實施持續整合

使用持續整合工具,如 Jenkins 或 Travis CI,來自動化編譯過程。確保 CI 工具執行在安全的環境中,並使用容器化來隔離編譯環境。

步驟 3:進行自動化安全測試

使用 SAST、DAST 和 SCA 工具來進行自動化安全測試。將這些工具整合到 CI pipeline 中,以便在每次編譯時自動進行安全測試。

步驟 4:實施持續佈署

使用持續佈署工具,如 Kubernetes 或 AWS CodeDeploy,來自動化佈署過程。實施一個包含徹底測試和審查的發布流程,以確保只有安全且穩定的程式碼被佈署。

步驟 5:監控和回應安全威脅

實施安全監控工具來偵測和回應安全威脅。使用入侵偵測系統和安全資訊及事件管理系統來監控基礎設施和應用程式,並實施一個安全事件回應計劃來快速回應任何被偵測到的安全事件。

持續整合與持續佈署(CI/CD)流程設計

在軟體開發中,持續整合與持續佈署(CI/CD)是一種重要的實踐,它可以幫助開發團隊更快速、更可靠地交付軟體。以下是如何設計一個CI/CD流程的範例。

CI/CD 流程概覽

CI/CD流程通常包括以下幾個階段:

  1. 建置(Build):這個階段負責建置軟體的可執行檔案。
  2. 測試(Test):這個階段負責執行單元測試和整合測試,以確保軟體的正確性。
  3. 安全測試(Security Test):這個階段負責執行安全相關的測試,包括靜態應用程式安全測試(SAST)、動態應用程式安全測試(DAST)和供應鏈攻擊風險分析(SCA)。
  4. 佈署(Deploy):這個階段負責將軟體佈署到生產環境。

YAML 檔案範例

以下是使用 YAML 檔案定義 CI/CD 流程的範例:

name: My App CI/CD

on:
  push:
    branches:
      - main

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Build Docker image
        run: |
          docker build -t myapp:latest.

  test:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Run unit tests
        run: |
          npm run test

  security-test:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Run SAST
        uses: snyk/actions@v1
        with:
          file: package.json
          args: --severity-threshold=high

  deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Deploy to production
        uses: appleboy/ssh-action@master
        with:
          username: ${{ secrets.USERNAME }}
          password: ${{ secrets.PASSWORD }}
          script: |
            docker pull myapp:latest
            docker stop myapp || true
            docker rm myapp || true
            docker run -d --name myapp -p 80:80 myapp:latest

CI/CD 流程解釋

在這個範例中,CI/CD 流程被定義為四個階段:建置、測試、安全測試和佈署。

  1. 建置:這個階段使用 docker build 指令建置 Docker 映像檔。
  2. 測試:這個階段使用 npm run test 指令執行單元測試。
  3. 安全測試:這個階段使用 Snyk 的 SAST 工具執行安全相關的測試。
  4. 佈署:這個階段使用 SSH 連線到生產環境,然後執行 Docker 指令佈署軟體。

DevSecOps 環境中的組態管理

組態管理是 DevSecOps 中的一個重要組成部分,負責管理和維護應用程式或系統的組態,以確保其的一致性和可靠性。在 DevSecOps 環境中,組態管理涉及多個工具和實踐,包括基礎設施即程式碼(Infrastructure as Code, IaC)、組態管理工具、版本控制、持續整合和佈署(Continuous Integration and Deployment, CI/CD)以及安全組態管理。

基礎設施即程式碼(IaC)

IaC 是一種實踐,涉及編寫程式碼來定義和管理應用程式或系統的基礎設施和組態。這種方法提供了一種更自動化和可重複的方式來管理組態,並有助於確保基礎設施在不同環境中的一致性。

組態管理工具

有多個組態管理工具可用於 DevSecOps 環境,包括 Ansible、Chef、Puppet 和 SaltStack。這些工具可以幫助管理組態,並確保其的一致性和可靠性。

版本控制

版本控制系統,如 Git,可以用於管理組態的變化,並跟蹤變化的歷史。這使得跟蹤變化和在需要時回復到之前的組態變得更加容易。

持續整合和佈署(CI/CD)

CI/CD 管道可以用於自動化應用程式在 DevSecOps 環境中的佈署和組態。這有助於確保組態的一致性和最新性,在不同環境中。

安全組態管理

安全組態管理涉及確保應用程式和系統的組態是安全的,並符合行業標準和最佳實踐。這包括組態防火牆、加密、存取控制和其他安全措施。

Ansible 的使用

Ansible 是一個流行的組態管理工具,可以用於管理 DevSecOps 環境中的組態。以下是使用 Ansible 的步驟:

  1. 定義組態:您需要定義系統的組態,包括軟體包、網路設定、使用者賬戶等。
  2. 版本控制:您需要使用版本控制工具,如 Git,來跟蹤組態檔案的變化。
  3. 持續整合和佈署:您需要使用 CI/CD 管道來自動化應用程式的建造、測試和佈署。
  4. 自動化:Ansible 可以自動化組態的過程,確保在所有環境中的一致性。
  5. 監控和報告:Ansible 提供監控和報告功能,幫助您跟蹤系統的狀態和識別問題。

組態管理的好處

組態管理可以帶來多個好處,包括:

  • 一致性:組態管理可以確保在所有環境中的一致性。
  • 可靠性:組態管理可以幫助確保系統的可靠性。
  • 安全性:組態管理可以幫助確保系統的安全性。
  • 效率:組態管理可以自動化組態的過程,減少手動錯誤的風險。

Ansible 自動化工具簡介

Ansible 是一種強大的自動化工具,允許使用者定義和執行複雜的任務,例如安裝軟體、組態系統和佈署應用程式。它使用 YAML 格式的 playbook 來定義任務,並可以在多臺主機上執行。

Ansible Playbook

以下是一個簡單的 Ansible playbook 範例:

- hosts: web_servers
  tasks:
  - name: 安裝 Apache
    apt:
      name: apache2
      state: latest
  - name: 啟動 Apache
    service:
      name: apache2
      state: started

這個 playbook 將在 web_servers 主機群組上安裝和啟動 Apache。

Ansible 變數

Ansible 也允許使用變數來定義 playbook 中的值。例如:

- hosts: web_servers
  vars:
    http_port: 80
  tasks:
  - name: 安裝 Apache
    apt:
      name: apache2
      state: latest
  - name: 組態 Apache
    template:
      src: templates/apache.conf.j2
      dest: /etc/apache2/apache.conf

這個 playbook 將使用 http_port 變數來組態 Apache。

Ansible Vault

Ansible Vault 是一個用於加密敏感資料的工具,例如密碼和 API 金鑰。以下是一個簡單的範例:

$ ansible-vault create secrets.yml

這將建立一個名為 secrets.yml 的加密檔案。

DevSecOps

DevSecOps 是一種將安全性整合到 DevOps 流程中的方法。以下是一些關於 DAST(動態應用程式安全測試)的:

DAST 簡介

DAST 是一種測試方法,涉及測試正在執行的應用程式,以識別可能存在的安全漏洞。

DAST 工具

以下是一些流行的 DAST 工具:

  • OWASP ZAP:一個開源的 Web 應用程式安全掃描器
  • Burp Suite:一個商業的 Web 應用程式安全測試工具

DAST 特點

以下是一些 DAST 的關鍵特點:

  1. 實際測試:DAST 提供了一個更實際的測試環境,因為它測試的是正在執行的應用程式。
  2. 自動化:DAST 工具可以自動化測試,提供更快速的反饋。
  3. 可擴充套件性:DAST 工具可以擴充套件到測試大型和複雜的應用程式。
  4. 覆寫範圍:DAST 工具可以提供對廣泛安全漏洞的覆寫。
  5. 易用性:DAST 工具通常易於使用,需要最少的設定。

Mermaid 圖表

  graph LR
    A[DevSecOps] --> B[DAST]
    B --> C[OWASP ZAP]
    B --> D[Burp Suite]
    C --> E[實際測試]
    D --> F[自動化]

圖表翻譯

這個圖表展示了 DevSecOps 和 DAST 之間的關係,以及一些流行的 DAST 工具。它還強調了 DAST 的一些關鍵特點,例如實際測試和自動化。

網頁應用程式安全測試工具

DAST(動態應用程式安全測試)是一種網頁應用程式安全測試工具,透過模擬攻擊者行為來檢測網頁應用程式的安全漏洞。其中,OWASP ZAP是一個開源的網頁應用程式安全掃描器,常被用於DAST。

使用OWASP ZAP進行安全測試

  1. 安裝和設定OWASP ZAP:首先,我們需要安裝OWASP ZAP並設定它以與我們的網頁應用程式配合使用。
  2. 執行安全掃描:接下來,我們需要使用OWASP ZAP執行安全掃描。這個過程包括讓OWASP ZAP的蜘蛛爬取網頁應用程式,並執行主動掃描以找出安全漏洞。
  3. 生成報告:最後,我們需要生成一個安全掃描結果的報告,以便審查和處理發現的漏洞。

以下是使用OWASP ZAP的範例組態:

- name: 安裝OWASP ZAP
  run: |
    unzip ZAP_2.10.0_Core.zip -d zap
- name: 啟動OWASP ZAP
  run: |
    zap/zap.sh -daemon -host 127.0.0.1 -port 8080 -config api.disablekey=true
- name: 組態OWASP ZAP
  run: |
    # 組態OWASP ZAP以與網頁應用程式配合使用
- name: 執行OWASP ZAP掃描
  run: |
    # 執行安全掃描
- name: 生成OWASP ZAP報告
  run: |
    zap/zap-cli.py -p 8080 report -o zap-report.html -f html

這個過程會生成一個HTML報告,包含了安全掃描的結果,可以用於審查和處理發現的漏洞。

IAST(互動式應用程式安全測試)

IAST是一種應用程式安全測試工具,結合了靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)的優點。IAST工具可以整合到應用程式中,提供實時的安全漏洞反饋。

IAST的特點

  1. 實時反饋:IAST工具可以在實時中提供安全漏洞的反饋,讓開發人員可以立即修復。
  2. 準確性:IAST工具可以在應用程式的執行環境中檢測漏洞,因此具有高準確性。
  3. 低誤報率:IAST工具可以區分真正的漏洞和無害的程式碼,因此具有低誤報率。
  4. 整合:IAST工具可以整合到開發流程中,讓開發人員可以將安全測試納入工作流程。
  5. 自動化:IAST工具可以自動化,讓開發人員可以快速獲得漏洞反饋。

IAST工具

  1. Contrast Security:是一種IAST工具,可以自動識別和追蹤漏洞,在軟體開發過程中提供實時反饋。
  2. Hdiv Security:是一種IAST解決方案,可以檢測和防止攻擊,提供詳細的漏洞洞察和報告。
  3. RIPS Technologies:是一種安全測試工具,結合了IAST和SAST,提供全面性的網頁應用程式安全分析。
  4. Acunetix:是一種網頁應用程式安全工具,提供IAST功能,可以實時檢測漏洞,並提供詳細報告。
  5. AppSecEngineer:是一種開源IAST工具,可以檢測和防止網頁應用程式的安全漏洞,提供詳細報告和攻擊嘗試記錄。

CI/CD管線中的IAST

以下是使用Contrast Security的IAST工具的CI/CD管線範例:

stages:
  - build
  - test
  - iast
  - deploy

build:
  stage: build
  script:
    - mvn clean package

test:
  stage: test
  script:
    - mvn test

iast:
  stage: iast
  script:
    # 啟動Contrast Security的IAST工具

在這個範例中,IAST階段是在測試階段之後新增的,使用Contrast Security的IAST工具來檢測漏洞。

DevSecOps實踐:從構建到佈署

DevSecOps是一種將安全性融入整個軟體開發生命週期的方法論。它強調在每個階段都要考慮安全性問題,而不是隻在最後階段才想到安全。這樣可以早期發現和修復安全漏洞,減少風險和成本。

構建和測試階段

在構建和測試階段,我們需要進行一些基本的安全檢查。例如,使用工具如cURL或HTTPie對應用程式的端點進行HTTP請求,驗證它們是否傳回預期的回應。此外,使用SQL查詢驗證應用程式是否正確地從資料函式庫讀寫資料。

測試型別

  • 冒煙測試(Smoke Test):快速簡單的測試,以驗證應用程式的基本功能是否正常工作。
  • 單元測試(Unit Test):對個別函式或方法進行測試,以確保它們按照預期工作。
  • 整合測試(Integration Test):對多個單元之間的互動作用進行測試,以確保它們一起工作正確。

佈署階段

在佈署階段,我們需要對生產環境進行安全掃描,以發現潛在的安全漏洞和風險。這可以使用雲掃描工具來完成,例如AWS Inspector、Cloud Security Scanner等。

雲掃描工具

  • AWS Inspector:分析AWS資源的行為和組態,以發現潛在的安全問題。
  • Cloud Security Scanner:掃描App Engine應用程式以發現常見的Web漏洞。
  • Cloud Security Command Center:提供跨整個雲基礎設施的可視性、安全性和合規性。

持續安全監控

在應用程式佈署到生產環境後,我們需要持續監控其安全性。這可以使用實時安全監控工具來完成,例如Contrast Security等。

實時安全監控工具

  • Contrast Security:提供實時安全監控和反饋,以發現和修復安全漏洞。

基礎安全掃描工具與技術

在雲端基礎設施上佈署應用程式後,持續掃描潛在的安全漏洞和威脅至關重要。這個過程稱為生產環境/基礎設施掃描,是 DevSecOps 的一部分,確保基礎設施在佈署到雲端後仍然安全且符合安全政策和標準。

基礎設施掃描工具

  1. Nessus:一款強大的漏洞掃描工具,提供詳細的報告。使用 nessuscli scan new --policy "Basic Network Scan" --target "192.168.1.1" 命令進行掃描。
  2. OpenVAS:一個開源的漏洞掃描器,支援多平臺,使用 omp -u admin -w password -G "Full and fast" -T 192.168.1.1 命令進行掃描。
  3. Qualys:一款雲端安全和合規工具,提供持續監控和詳細報告。
  4. Security Onion:一個 Linux 發行版,用於入侵偵測、網路安全監控和日誌管理。使用 sudo so-import-pcap -r 2022-01-01 -c example.pcap 命令匯入 pcap 檔案。

系統稽核工具

  1. Lynis:一款用於稽核 Unix 基礎系統安全性的工具,進行系統掃描並提供詳細報告。使用 sudo lynis audit system 命令進行稽核。
  2. Nuclei:一款快速且可定製的漏洞掃描器,支援多平臺和技術。
  3. Nuclei Templates:一組適用於 Nuclei 的範本,涵蓋廣泛的漏洞和錯誤組態。
  4. Nuclei with Burp Suite:結合 Nuclei 和 Burp Suite,快速掃描和識別 Web 應用程式中的漏洞。
  5. Nuclei with Masscan:結合 Nuclei 和 Masscan,快速掃描大型 IP 範圍並識別漏洞。使用 masscan -p1-65535 192.168.1.1-254 -oL ips.txt && cat ips.txt 命令進行掃描。

Azure Security Center

Azure Security Center 提供了一種方式來建立安全評估,使用 az security assessment create --location westus --name "Example Assessment" --resource-group "MyResourceGroup" 命令。

Google Cloud Security Scanner

Google Cloud Security Scanner 可以使用 gcloud beta app deploy --no-promote --version staginggcloud beta app gen-config --custom 命令進行佈署和組態。

CloudPassage Halo

CloudPassage Halo 是一款雲端安全和合規工具,提供持續監控和詳細報告。

生產環境下的秘密管理

秘密管理是指安全地儲存、管理和存取敏感資訊的過程,例如密碼、API 金鑰和其他憑證。秘密是現代應用程式的關鍵元件,其安全管理對於確保應用程式的安全性和完整性至關重要。

秘密管理工具

秘密管理工具通常提供一個安全且集中化的位置來儲存和管理秘密。這些工具通常使用強大的加密和存取控制機制來保護敏感資訊,防止未經授權的存取。

秘密管理工具的關鍵功能

  1. 安全儲存:秘密管理工具提供一個安全的位置來儲存敏感資訊,使用強大的加密和存取控制機制。
  2. 存取控制:秘密管理工具允許管理員定義存取控制政策和角色,以控制誰可以存取特定的秘密和執行什麼樣的動作。
  3. 稽核和監控:秘密管理工具提供稽核和監控功能,允許管理員追蹤誰存取了特定的秘密和何時存取,提供合規性和安全性的稽核蹤跡。
  4. 與其他工具的整合:秘密管理工具可以與其他 DevOps 工具整合,例如建置伺服器、佈署工具和協調框架,提供應用程式生命週期中對秘密的無縫存取。

Hashicorp Vault

Hashicorp Vault 是一個完全受管理的秘密管理服務,提供了一個安全且可擴充套件的解決方案,支援多種身份驗證方法和儲存後端。

使用 Hashicorp Vault

vault kv put secret/myapp/config username="admin" password="s3cret" API_key="123456789"

AWS Secrets Manager

AWS Secrets Manager 是一個雲端基礎的秘密管理服務,提供了一個安全且可擴充套件的解決方案,支援多種身份驗證方法和儲存後端。

使用 AWS Secrets Manager

aws secretsmanager create-secret --name myapp/database --secret-string '{"username":"admin","password":"s3cret"}'

Azure Key Vault

Azure Key Vault 是一個雲端基礎的秘密管理服務,提供了一個安全且可擴充套件的解決方案,支援多種身份驗證方法和儲存後端。

使用 Azure Key Vault

az keyvault secret set --name myapp/config --value s3cret

Git-crypt 和 Blackbox

Git-crypt 和 Blackbox 是兩個命令列工具,允許您在 Git 儲存函式庫中加密檔案和目錄。

使用 Git-crypt 和 Blackbox

blackbox_initialize && blackbox_register_new_file secrets.txt

生產環境下的威脅情報

威脅情報是指收集和分析潛在和現有的網路安全威脅資訊的過程,例如惡意軟體、網路釣魚攻擊和資料洩露。威脅情報的目的是為組織提供可行的洞察力,以幫助他們識別和減輕潛在的安全風險。

DevSecOps 的實踐在軟體開發生命週期中扮演著越來越重要的角色,涵蓋了從程式碼撰寫、建置、測試、佈署到生產環境監控的每個環節。本文深入探討了 CI/CD 管線安全、組態管理、安全掃描、秘密管理以及威脅情報等關鍵導向,並佐以 Ansible、OWASP ZAP、Hashicorp Vault 等工具的實務應用範例。然而,DevSecOps 的落地並非一蹴可幾,技術團隊需要根據自身業務需求和技術堆疊的特性,選擇合適的工具和策略,並持續最佳化和調整。玄貓認為,將安全性融入開發流程的每個環節,才能真正構建安全可靠的軟體系統,並在快速變化的威脅環境中保持競爭力。未來,隨著雲原生技術和自動化技術的發展,DevSecOps 將持續演進,更精細化、更自動化的安全工具和平臺將成為主流。

玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。