安全先行!CI/CD扫描引领安全左移革命!

已于 2023-09-05 15:10:07 修改
阅读量266 收藏
点赞数
文章标签: 安全 ci/cd 云原生 容器 网络安全
于 2023-09-05 15:09:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742792/article/details/132692553
版权

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体,技术积累为驱动所打造的云原生安全平台。

本文将介绍如何使用牧云·云原生安全平台进行CI/CD扫描。

介绍:

在项目开发过程中,我们频繁在生产环境使用镜像完成基础构建,但在镜像创建、构建、传输的过程中,我们该如何保障镜像的安全性与完整性?

牧云·云原生安全平台提供 CI/CD 功能,目前兼容多种主流 CI/CD,一键生成检测策略,并查看具体检测结果,直观高效,精准定位!

  1. 支持自定义策略参数配置:检测范围、检测内容、事件阻断等级

  2. 支持可视化查询结果:是否通过检测、风险事件统计

  3. 支持查看每条 Pipline 检测详情:关联每条构建编号与检测结果数据、梳理当前所有被影响镜像信息、检测结果详情查看跳转

使用指引 

1、点击「安全左移-CI/CD」前往使用CI/CD功能,点击Jenkins卡片进入Jenkins详情页面。

图片

首次进入页面的用户会直接看到配置Token的弹窗,用户可以依据流程进行前置插件安装配置,关闭弹窗后,可以再次点击页面右上方「配置Token 」进行查看。

  • 点击下载插件包

  • 前往Jenkins面板>系统管理>插件管理>高级>DeployPlugin选择插件文件,点击Deploy按钮完成插件安装。

  • 前往Jenkins面版>系统管理>系统配置找到VeinmindScannerOptions,粘贴平台获取的Token,点击保存按钮完成初始化配置。

2、安装插件后,默认启动插件的自动模式,使用默认策略对使用插件的CI/CD进行安全检测扫描并上报结果到平台,默认策略不会进行镜像阻断操作,用户可在系统配置中修改策略id修改默认策略内容。如针对不同的Pipline有不同的检测需求,即可使用手动模式,创建策略进行检测。

图片

点击「创建策略」弹窗策略参数配置,依据业务情况配置参数详情。

图片

3、Jenkins列表页面分为三个模块,左侧是策略管理,右侧是Pipline事件列表,上方是操作按钮。点击右上方「创建策略」可以基于业务场景创建不同的策略进行使用;左侧点击某一个策略对象,右侧将会展示使用此策略进行扫描上报的所有事件数据,点击编辑即可前往查看策略详情并编辑详细字段。

图片

4、点击「Job」进入Pipline事件详情页面,Piplinel事件详情包括四个模块「CI/CD信息」「扫描镜像信息」「策略详情」「检测详情」,提供CI/CD具体字段、本次扫描的镜像对象、本次扫描使用的策略内容和扫描的结果,多类型数据统一展示,便于快速排查风险并进行下一步解决修复。

Jenkins的配置:

图片

本小节将指导你如何配置 Jenkins :

所需环境

  • Jenkins

  • Jenkins 部署服务器与牧云·云原生安全平台网络畅通

插件安装

1、前往平台 /镜像安全/CI/CD,选择 Jenkins 卡片,点击「配置 Token」按钮,点击下载插件包。

2、前往 Jenkins 面板 > 系统管理 > 插件管理 > 高级 > Deploy Plugin 选择插件文件, 点击 Deploy 按钮完成插件安装。

图片

3、前往 Jenkins 面板> 系统管理 > 系统配置 找到 Veinmind Scanner Options, 粘贴平台获取的 Token, 点击 保存 按钮完成初始化配置。

图片

  • 这里是插件的全局配置参数,对所有使用插件的 CICD 都生效,您只需依据上图内容粘贴 Token 即可,其他参数可保持默认选项

  • image :默认为空

  • 策略 id:默认选择平台内置的默认策略,如需更换全局策略需前往平台创建策略后复制策略 id 填写到此处

  • serverURl:默认即可

  • CaURl:默认即可

  • 日志级别:默认即可

自动模式:

安装插件后,默认启动插件的自动模式,使用默认策略对所有使用插件的 CICD 进行安全检测扫描并上报结果到平台,默认策略不会进行镜像阻断操作,您可在系统配置中修改策略 id 修改默认策略内容。

手动模式:

如针对不同的 Pipline 有不同的检测需求,即可使用手动模式,详细教程请参考下方内容。

创建策略

1、前往平台,点击「创建策略」按钮,依据业务情况配置策略参数。

图片

2、复制命令,前往 Jenkins 面板 > 进入目标 Pipline 详情 > 左侧点击配置 > 定位到流水线 > 粘贴命令 > 点击保存

图片

构建扫描

当完成上述配置后,即可开始构建,构建完成后即可前往平台查看扫描结果

图片

图片

图片

至此牧云·云原生安全平台使用手册系列的教程文已经全部更新完啦,非常感谢您抽出宝贵的时间来阅读本系列文章。我们真诚地感谢您的支持和兴趣。如果您有任何问题、建议或反馈,请随时与我们联系,您的意见对我们非常重要。

  关于我们:

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。首创双模探针架构,可选用 Agentless/Agent 多种方案进行部署,覆盖制品、运行时、集群全流程安全,开箱即用、快速实施、成本极低、自动升级、无需维护、无缝集成,让用户能够轻装上阵,轻松解决云原生安全问题。

平台地址: 

https:长亭百川云平台-面向企业和技术爱好者-主机管理-云原生安全-网站监测-Web应用防火墙

问脉团队·VeinMind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DevOps 安全集成:从开发到部署,全生命周期安全守护
Coder加油站的专栏
06-08 8626
DevOps 作为一种敏捷的软件开发和运维方法,以其快速迭代、持续交付的优势,成为了现代软件开发的主流趋势。然而,在追求效率的同时,安全问题也成为了不容忽视的挑战。为了确保软件安全,DevOps 安全集成应运而生,将安全策略融入整个软件开发生命周期,从开发到部署,全方位保障软件安全
CI中实现持续Web安全扫描
cpongo5
06-14 327
一. 当前Web应用安全现状\\随着中国互联网金融的爆发和繁荣,Web应用在其中扮演的地位也越来越重要,比如Web支付系统、Web P2P系统、Web货币系统等。对于这些金融系统来讲,安全的重要性是不言而喻的, 一旦黑客利用安全漏洞入侵系统后,损失的不仅仅是数据,还包括企业或者客户的财产。\\国内著名的乌云漏洞平台,每天都会爆出十几条甚至几十条各大网站的安全漏洞,比如:\\中国电信某省任意用户登陆...
十大 CI/CD 安全风险(三)
分享 GPU 管理与大模型推理相关技术实践
10-12 486
在,我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险,并给出缓解风险的安全建议。本篇文章将着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。
如何在持续集成/持续部署(CI/CD)流程中集成安全漏洞扫描
图幻未来的博客
02-25 408
安全性的理念融入到 CI/CD 的整个生命周期的各个环节能够有效地减少软件缺陷所带来的安全风险和投资成本。以上这些方法可以帮助企业更好地整合安全漏洞扫描CI/CD 流程中来应对当今不断发展的数字世界中的种种挑战.当然不同的组织和企业可能根据实际情况采取不同方式来实现这一目标。
适用于CI容器漏洞扫描神器
qq_24794401的博客
12-26 246
Trivy 简介Trivy是一个用于容器简单而全面的漏洞扫描程序。软件漏洞是软件或操作系统中存在的故障,缺陷或弱点。Trivy检测OS软件包(Alpine,RHEL,CentOS等...
小公司持续集成CI搭建方案系列--代码扫描和自动测试
了缺的专栏
12-26 661
这篇主要是搭建代码扫描和运行单元测试和静态代码扫描,测试环境 依赖docker镜像 预备基础知识 docker构建新镜像 pipeline基础知识 pipeline相关工具和文档【ip换成自己的】 php相关基础(主要是以php进行演示) 目标 静态代码扫描不满足要求,jenkins构建失败 单元测试运行失败, jenkins构建失败 单元测试结果,展示到jenkins gitlab发起合并...
CI/CD 管道安全:构建和部署之外的最佳实践
网络研究观
01-31 5541
鉴于对快速创新和敏捷方法论采用的需求,持续集成/持续部署 (CI/CD) 管道已成为构建所有 DevOps 流程的基础。他们是高效交付的支柱。
什么是 CI/CD?持续集成和持续交付解释
Yanan990830的博客
05-17 5511
持续集成 (CI) 和持续交付 (CD),也称为 CI/CD,体现了应用程序开发团队用来更频繁、更可靠地交付代码更改的文化、操作原则和一组实践。 CI/CD 是dvoeps团队的最佳实验。这也是敏捷方法的最佳实践。通过自动化集成和交付,CI/CD 让软件开发团队专注于满足业务需求,同时确保代码质量和软件安全
为什么I2C从机地址要左移一位
08-04
在I2C通信协议中,从机地址左移一位是一个重要的细节,对于初学者来说可能会感到困惑。I2C(Inter-Integrated Circuit)是一种多主机、串行、两线制总线,常用于微控制器(MCU)与各种外部设备如传感器、存储器等...
云原生安全左移实践.pdf
04-10
云原生基础设施引入新的安全⻛险 镜像是重要的攻击手段 供应链攻击传播快、影响范围广 供应链攻击事件 传统的安全方法跟不上软件迭代速度 传统的安全组织模式无法适应DevOps流程 ...组织 + 流程 + 技术 = 安全左移
安全左移理念,腾讯DevSecOps如何实践?.pdf
09-18
安全左移理念】指的是在软件开发过程中,将安全措施提前至早期阶段,如设计和编码阶段,以减少安全漏洞的产生。这一理念源于DevOps文化,旨在加速开发流程的同时确保安全。传统的安全检查方法(如DAST)在DevOps...
2024软件安全测试.doc
04-25
4. **易于使用**:现代SAST工具与DevOps环境和CI/CD管道集成,便于开发者和测试人员使用。 **不足:** 1. **无法覆盖运行时问题或配置问题**:SAST主要关注源代码中的漏洞,无法检测运行时环境中可能出现的问题。 2...
软件安全开发框架.rar
06-26
但是很少有模型明确地处理软件安全问题,因此软件安全开发实践被添加和集成到 SDLC 方法中。 不管是什么 SDLC 方法,应当把软件安全开发实践在整个过程中进行集成,目的有三个:一是减少发布软件的漏洞数量;二是...
赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
0xSec
08-03 258
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。
内网安全:多种横向移动方式
最新发布
8888的博客
08-03 613
DCOM:DCOM(分布式组件对象模型)是微软的一系列概念和程序接口。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求,使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件获取DCOM列表:实验前提:1.关闭防火墙2.必须有管理员权限。
【系统架构设计师】二十四、安全架构设计理论与实践①
帅次的博客
08-03 577
在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。目前,网络与信息安全风险类别可以分为人为蓄意破坏(被动型攻击,主动型攻击)、灾害性攻击、系统故障、人员无意识行为
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1686
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
SpringSecurity+Mysql数据库实现用户安全登录认证
不积跬步,无以至千里;不积小流,无以成江河。
08-03 1347
Spring Security 是一个提供身份认证、授权和防范常见攻击的安全权限框架。无论是对命令式,还是响应式web应用程序都完美支持,现在主要用作保护基于 Spring 框架的应用程序的事实标准。相对于shiro来说,SpringSecurity功能更加强大并且更加复杂 1.SpringBoot整合security pom中加入依赖 <!--security--> <dependency> <groupId>org.spri...
Python爬虫技术 第31节 持续集成和自动化部署
hummhumm的专栏
08-03 577
如果你的部署目标不是通过SSH连接的服务器,而是其他的平台(如Docker容器、Kubernetes集群等),则需要相应地修改部署部分的步骤。以下是一个更详细的GitHub Actions配置文件示例,它包括了Python爬虫项目的构建、测试、以及自动化部署的步骤。对于爬虫项目来说,使用Git可以帮助你管理代码的不同版本,协同开发,并且可以在出现问题时回滚到之前的版本。如果你有特定的需求或想要实现的功能,请告诉我,我可以帮助你进一步定制化这个配置文件。文件,列出所有需要安装的依赖包。
云原生安全左移策略与镜像风险
2. 流程:将安全检查和自动化测试集成到CI/CD(持续集成/持续部署)流程中,确保每次代码提交和部署都伴随着安全验证。 3. 技术:利用自动化工具进行静态代码分析、依赖扫描和动态应用安全测试,以减少人为错误和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值