持续集成和交付(CI / CD)管道旨在支持每天数以万计的查项部署。生产部署的目中秘钥频率不能以牺牲安全为代价,安全流程也需要与CI / CD管道集成在一起。否存这就是信息为什么我们在从开发到生产的流水线的每个步骤中都添加了持续的安全验证,以帮助确保我们的查项应用程序始终是安全的。
作为管道的目中秘钥一部分,我们开始将SonarQube用于代码质量,否存因为SonarQube已集成到开发人员的信息IDE中,所以此验证发生在开发人员提交其代码之前。查项我们决定利用SonarQube来进一步检查易受攻击的目中秘钥编码模式。源码库
在此过程中,否存我们使用了现有的信息出色插件,例如Java的查项Findsecbugs,我们从Sonar Secrets开始向开发人员提供早期反馈,目中秘钥提醒他们使用硬编码凭据所带来的否存安全风险。尽早为开发人员提供反馈,使我们可以将安全控制权向左移动,从而使开发人员可以在生产代码投入使用之前达到内部定义的安全标准。
为了保护我们的用户,合作伙伴和员工,我们的服务旨在使用加密的密钥库来保护所有相关的敏感数据。然后,开发人员可以使用变量在代码中引用此数据,服务器托管而不必对值进行硬编码。
SonarQube™的Sonar Secrets插件https://github.com/Skyscanner/sonar-secrets —由Skyscanner产品安全小组创建,旨在识别硬编码的机密,例如密码,API令牌,AWS凭证等。
build成功会提示以下信息:
... [INFO] BUILD SUCCESS [INFO] ------------------------------------------------------------------------ [INFO] Total time: 7.065 s [INFO] Finished at: 2017-10-26T05:00:33-04:00 [INFO] Final Memory: 23M/252M [INFO] ------------------------------------------------------------------------sonar-secrets-java-x.x.jar 在 sonar-secrets/java/target 目录。
sonar-secrets-javascript-x.x.jar 在 sonar-secrets/javascript/target 目录。
In startup logs you should see:
... INFO web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets Java / x.x INFO web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets JavaScript / x.x ...启用 sonar-secrets-java and sonar-secrets-javascript 在 Quality Profiles。
Sonar Secrets帮助我们在检测和防止代码中的敏感数据泄漏方面保持主动。我们已决定将该项目开源,以便社区可以从这项技术中受益并帮助改进它。该插件是完全可定制的,并且可以使用新规则进行扩展。该第一个发行版目前仅支持Java和Javascript项目。企商汇
(责任编辑:域名)