[10.14 Workshop] 容器 DevSecOps 全链路体验-阿里云开发者社区

开发者社区> 云原生> 正文
登录阅读全文

[10.14 Workshop] 容器 DevSecOps 全链路体验

简介: DevOps的价值已经在软件开发企业间形成了共识,尤其在云原生时代,容器化架构与 DevOps 结合在一起,极大提升了企业研发效率。然而在快速迭代的背后,如果没有一个可信的软件供应链,很可能将安全风险引入生产环境,造成巨大的损失。本文将基于 ACR EE 的云原生应用交付链实践,介绍如何将安全内置在 DevOps 的流程,将流水线升级为 DevSecOps ,保障端到端的容器业务安全。

场景介绍

image.png

【漏洞风险识别,自动阻断】研发同学在代码迭代过程中,由于依赖错误的 Base Image,导致容器镜像存在高危风险。基于云原生应用交付链支持镜像的自动安全扫描及策略阻断。当安全策略没有通过后,研发同学应用的上线被中断,并收到一条通知信息。

【漏洞一键修复,自动交付】研发同学通过控制台一键修复漏洞,自动触发安全扫描。当安全策略验证通过后,会自动触发镜像的签名并交付至 ACK 部署。



前提条件

  • 创建一个 ACR EE 实例-高级版,相关操作,请参考创建企业版实例
  • 完成企业版实例的初始化操作,添加一个 VPC 作为云安全中心访问企业版实例的通道。相关操作,请参考配置 VPC 访问控制
  • 开通 Codeup 代码源,点击右侧添加库,选择导入代码库。在导入代码库的弹框中,选择 URL 导入。源代码库地址中填写:https://github.com/susanna8930/workshop 完成导入。



操作步骤

步骤一:绑定代码源

登录 Codeup 创建,点击个人设置,点击个人访问令牌。

  1. 个人访问令牌中,选择设置当前实验所需的最小权限。
    • 用户相关信息的只读权限:read:user
    • 代码库的只读权限:read:repo
    • 代码库分支的只读权限:read:repo:branch
    • 代码库标签的只读权限:read:repo:tag
    • 代码库Webhook的全部读写权限:read:repo:webhook、write:repo:webhook
    • 代码组的全部读权限:read:group
    • 企业相关信息的只读权限:read:org
  1. 个人信息中,对话框左侧导航栏单击 HTTPS 密码,查看克隆账号。获取对应的账号名。

登录 ACR 控制台,在代码源部分配置前面获取到的账号名个人访问令牌。

image.png


在代码源页面显示 Codeup 已绑定,则说明绑定成功。参考关于源代码绑定的帮助文档


步骤二:创建源代码仓库

  1. 在企业版实例管理页面左侧导航栏,选择仓库管理 > 镜像仓库,点击创建镜像仓库。
  2. 创建命名空间 demo,仓库名称 workshop,设置仓库类型为公开。(仅 Workshop 示意,不建议生产环境开启)。
  3. 选择预先导入的 Codeup 代码仓库默认开启代码变更自动构建镜像,点击创建镜像仓库
  4. 在镜像仓库页面,单击目标仓库右侧操作列中的管理。单击左侧导航栏中的构建,在构建规则设置区域单击添加规则,配置构建规则,然后单击确定
    1. 构建信息页面:选择 Branch 类型,从下拉框中选择 master 分支。
    2. 镜像版本页面:填写镜像版本 v1.0,点击保存。

image.png

创建完成后,可在源代码仓库查看对应的构建规则,点击立即构建,可从 Codeup 上拉取容器镜像进行构建。


步骤三:创建云原生应用交付链

  1. 在企业版实例管理页面左侧导航栏中选择云原生交付链 > 交付链
  2. 创建交付链页面基本信息区域,输入以下信息。
    • 交付链名称:设置交付链的名称。
    • (可选)交付链描述:设置交付链的基本描述。
    • 交付链作用范围:选择前面创建的源代码仓库。
  1. 在交付链的安全扫描节点,配置一下信息。
    1. 安全引擎:选择云安全中心安全引擎
    2. 是否阻断:选择阻断。
    3. 是否删除:选择不删除
    4. 漏洞等级:选择高危,漏洞个数:1个

image.png


步骤四:修改 Codeup 源代码,触发交付链自动构建及安全扫描

  1. Codeup,任意修改 hello-world.go 的文件内容。
  2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现交付链已被阻断,执行状态为取消

3. 点击操作详情,查看容器镜像的漏洞情况。


image.png


步骤五:一键修复容器镜像,再次触发交付链流程

  1. 点击一键修复,选择不覆盖,将以 _fixed 为后缀形成新的容器镜像版本。点击立即修复

image.png

2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现容器镜像已修复完成,顺着交付链完成了后续流程。

image.png

3. 点击安全扫描节点,发现镜像漏洞已经全部修复完成了。

image.png


总结

  • 【安全策略】容器安全防护需要“左移”,从容器供应链源头的构建阶段就保障镜像的内容安全可信。
  • 【DevSecOps】基于 ACR 云原生应用交付链,可将 DevOps 全面升级 DevSecOps。全链路可观测、可追踪、可自定义安全策略,保障端到端的容器业务安全。


附录

  • 完整 Demo 视频
  • 示意源代码仓库地址

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
云原生
使用钉钉扫一扫加入圈子
+ 订阅

云原生时代,是开发者最好的时代

其他文章
最新文章
相关文章