十大 CI/CD 安全风险(四)】的更多相关文章

十大 CI/CD 安全风险(三)

在上一篇文章,我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险,并给出缓解风险的安全建议.本篇文章将着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践. Poisoned Pipeline Execution (PPE) 风险指的是攻击者能够访问源代码控制系统,但无法访问构建环境,通过将恶意代码/命令注入构建流水线配置来操纵构建过程,本质上是"中毒的"流水线和运行恶意代码作为构建过程的一部分. 风险描述 PPE 风险通常存在代码仓库中,可控对应的 CI 管道配置文件…

GitHub 十大 CI 工具

简评:GitHub 上最受欢迎的 CI 工具. 持续集成(Continuous integration)指的是,频繁地(一天多次)将代码集成到主干. 持续集成工具让产品可以快速迭代,同时还能保持高质量,可以快速的发现错误,防止分支大幅偏离主干. 持续交付(Continuous delivery)指的是,频繁地将软件的新版本,交付给质量团队或者用户,以供评审.如果评审通过,代码就进入生产阶段. 有不少的 CI 和 CD 工具可以与 GitHub 集成,其中有一些可以通过 GitHub Market…

jenkins-gitlab-harbor-ceph基于Kubernetes的CI/CD运用(四)

前景提要 jenkins与gitlab结合,实现代码自动拉取:https://www.cnblogs.com/zisefeizhu/p/12548662.html jenkins与kubernetes结合,实现jenkins-slave自动部署和销毁:https://www.cnblogs.com/zisefeizhu/p/12556013.html 从0到1,构建一个tomcat pod:https://www.cnblogs.com/zisefeizhu/p/12563272.html 集群…

如何搭建安全的 CI/CD 管道?

Eolink 前端负责人黎芷君进行了<工程化- CI / CD>的主题演讲,围绕 CI/CD 管道安全的实践,分享自己在搭建 CI/CD 管道过程中所总结的重要经验,与开发者深入讨论 "前后端" 那些事儿. 随着互联网越来越受重视,前端开发不再是简单的实现一个界面,使用 Javascript 让页面有一定的交互特效. 在同一个时期的迭代里,我们可能需要同时开发浏览器应用.桌面端,甚至是 App.小程序等等.导致了我们迫切的需要考虑一种新的方式,优化我们前端的开发工作.而 C…

DevSecOps 需要知道的十大 K8s 安全风险及建议

Kubernetes (K8s)是现代云原生世界中的容器管理平台.它实现了灵活.可扩展地开发.部署和管理微服务.K8s 能够与各种云提供商.容器运行时接口.身份验证提供商和可扩展集成点一起工作.然而 K8s 的集成方法可以在任何基础设施上运行任何容器化应用程序,这使得围绕 K8s 和其上的应用程序堆栈创建整体安全性面临挑战.根据 Red Hat 的 2022 年 K8s 安全报告,在过去 12 个月的过程中,几乎所有参与研究的 K8s 用户都经历过至少一次安全事件.因此,可以说 K8s 环境在默…

转:OWASP发布Web应用程序的十大安全风险

Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策.目前,OWASP在全球有超过140个分会,其中包括中文分会.该组织从2003年开始每隔几年就会发布Web应用程序的十大安全风险,针对云计算的安全问题,还提出过云计算十大安全风险,可参考主站和中文站的文档.2013年6月,它们发布了最新的Web应用十大安全风险.完整的风险列表和多种语…

ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/ OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的web应用程序的开发和设计.当他们在世界各地举办不同的研讨会和活动时,你可能听说过他们,因为"OWASP Top…

.Net Core DevOps -免费用Azure四步实现自动化发布(CI/CD)

前言 linux 大行其道的今天想必大家都已经拥抱 core 了吧,通常的方案都是 gitlab+jenkins+centos,但是这样的方案不适合我这种懒人,一直在寻求简单的解决方案,在寻求方案的过程中发现目前国内的第三方的对c#不够友好啊,没发现好用的,所以就想到的Azure,不得不说MS还是挺给力的. 必备清单 GitHub ==>GitHub 入门教程 阿里云容器镜像服务 或 https://hub.docker.com Azure DevOps 注册=>https://azure.m…

Salesforce学习之路(四)利用Jenkins和Git实现Salesforce的CI/CD功能

上文提到,基于CRM的二次开发是必不可少的,但是在实际项目中CI/CD是不可忽略的一个重要部分,与传统的Java,Python项目不同,如果对Salesforce进行持续集成和持续部署呢? 结合找到的各种资源,并加上之前Java和Python的CI/CD经验,这里设计了一套简单的模版,如有错误,望各位大佬斧正. 1. 系统结构图 这里的设计,主要利用了Ant的代码迁移功能. 详细知识可参考:https://developer.salesforce.com/docs/atlas.en-us.daa…

近期关于CI/CD策略以及git分支模型的思考

近两个月由于个人处于新环境.新项目的适应阶段,没怎么提笔写些文章.中间有好几个想法想记录下来分享,但受限于没有很好的时间段供自己总结思考(也可以总结为间歇性懒癌和剧癌发作),便啥也没有更新.借这个周末闲适的下午和明媚的阳光,决定把近来项目上的CI/CD(持续集成/持续交付)策略以及git分支模型和以前的项目做一下分析比较,希望对各位有所帮助,也能有所思考,尤其是那些期望搭建项目部署流水线或者想了解git分支模型的开发.运维人员.背景  废话不多说,由于近期做了N次release,所以对自己目前所…