开发者学堂课程【ALPD 云架构师系列:云原生 DevOps 36计-阿里云云效出品:潜伏的怪兽:研发过程中的安全风险】学习笔记,与课程紧密连接,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/772/detail/13521
潜伏的怪兽:研发过程中的安全风险
内容介绍:
一、研发过程的安全风险
二、全链路的研发安全体系
三、 基于云效的落地示例
四、总结
一、研发过程的安全风险
在研发过程中的安全风险是无处不在的,举例;1.代码泄露2.构建时钓鱼包,juva等均存在,在里面加了未知的东西 3.流水线的漏洞 4.发布线,运维链的后门 以前的中文后门可自动将用户名和密码转移至一起,5.运维上存在 saltstack,常规风险为越权,即作为普通用户越权后可操作其他功能,相当于拥有所有机械的权限,6.之后为 docket 的容器漏洞,在最后的数据编存在人为的删库跑路,直接将数据库删除。
二、全链路的研发安全体系
整个完整的研发链路,存在一整套的安全体系存在从编码、构建、测试、集成、验收、发布、运维一系列的守护保障,很少存在公司和团队,将其全部建设起来,但是需要意识,在其过程中,安全是很重要的,因为安全存在问题,会对业务造成风险。
三、基于云效的落地示例
观察云效的落地如何实现,假设为如下云效工具链来做,一般来说,安全问题从看板便会防护,会开启代码权限和安全扫描,依赖漏洞和敏感进行检测,在流水线需要加上制品的安全扫描和测试与发布审核,尽量避免发布风险,同时在发布的过程中,通过规部执行策略,进行及时止损,此外,需要考虑基础设施的安全能力所以一定要和安全容器进行集成,通过阿里云的基础安全能力,做一个简单防护。
可以看到,整个的安全问题为全链路的端到端的问题,
此外,针对安全问题,一般的小企业和团队则将投入几乎所有经历,可能并不满足,比如全链路安全,需要专业的团队,很难找全拥有这些背景的人,建议寻求大厂的帮助,当然还存在平台的安全和本身制品的安全,此外和管理上的安全,如:同事离职对于密要的交接,对于小企业来说是非常致命的。
四、总结
- 质量是团队所有人的事
- 通过分层测试平衡质量和成本,并不是越多的测试越好,越低的成本越好。
- 通过测试自动化提升测试效率,降低验证成本,当然,测试自动化,本身的效率,需要保证
- 通过选择性的单元测试来降低成本,通过四个象限的选择来选择应该做的单元测试的用例
- 好的测试应该遵循 FIRST
- 从研发的全局和控制安全风险
