По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Пайплайн CI/CD – это основа разработки программного обеспечения и один из основных компонентов конвейера DevOps. Процесс непрерывной интеграции/доставки (или развертывания) определяет ряд шагов, которые специалисты по программному обеспечению должны выполнить для создания новых программ.
Несмотря на то, что CI/CD повышает эффективность производства, этот процесс пренебрегает безопасностью. Базы данных, проприетарный код, учетные данные, ключи, учетные цифровые идентификационные данные и пароли, используемые в производственных и тестовых средах, также являются угрозой для безопасности.
Данная статья рассказывает о безопасности CI/CD, проблемах и рекомендациях по обеспечению безопасности производственного конвейера программного обеспечения.
Что такое безопасность CI/CD?
Безопасность CI/CD – это определенные шаги по защите конвейера автоматизированного производства программного обеспечения. И хотя общая безопасность производства программного обеспечения важна, линия доставки обновлений и устранений ошибок в программном обеспечении также должна быть надежной.
Пайплайн (или конвейер) CI/CD – это поток автоматической интеграции и доставки (или развертывания) приложений. Метод реализует обновления и исправления ошибок в соответствии с потребностями клиентов. Как итог, основное внимание уделяется полной автоматизации доставки программного обеспечения для непрерывного производства.
Однако в конвейере CI/CD упускается из виду его безопасность. Путем использования автоматизации тестирования и постоянного мониторинга администраторы безопасности должны проводить оценку уязвимостей на различных этапах разработки программного обеспечения.
Общие проблемы безопасности в конвейере CI/CD
Существует множество проблем безопасности, которые следует учитывать при защите конвейера CI/CD:
Серьезной проблемой является соблюдение требований к данным в непроизводственной среде. Чем больше людей работает над одним проектом, тем больше появляется возможных точек нарушения безопасности.
Необходимо выработать четко определенные правила контроля доступа и политики паролей для всех пользователей. В случае компрометации должен существовать заранее подготовленный план реагирования на различные инциденты.
Автоматизация и оркестровка занимают немалую часть программного обеспечения и для них требуются множество единичных фрагментов программного кода.
Быстро меняющаяся среда с постоянными обновлениями оставляет большой простор для различного рода инцидентов и непреднамеренных компрометаций. Лучшей политикой безопасности здесь будет встраивание безопасности непосредственно в конвейер.
Рекомендации по обеспечению безопасности конвейера CI/CD
Наилучшие методы обеспечения безопасности CI/CD зависят от инфраструктуры DevOps. Ниже приведены десять основных руководств по защите конвейера при работе в среде CI/CD.
1. Моделирование угроз безопасности
Проведите исследование в области потенциальных угроз безопасности. Определите точки, где необходимо обеспечить дополнительные уровни безопасности, попробуйте смоделировать эти угрозы и разработайте упражнения для повышения уровня информированности о потенциальных проблемах безопасности.
Большинство угроз безопасности находятся в точках стыковки. Все, что подключается к конвейеру, должно регулярно исправляться и обновляться. Блокируйте любые устройства, не соответствующие требованиям безопасности.
2. Проверка безопасности до фиксации
Проводите проверки безопасности до фиксации кода в системе контроля версий. Большинство IDE предоставляют подключаемые модули безопасности и предупреждают об уязвимостях кода по мере его ввода.
Проводите независимую оценку работ неопытных разработчиков перед отправкой кода в Git. Используйте небольшие фрагменты программного кода и список контрольных вопросов, чтобы убедиться в том, что код соответствует всем протоколам и стандартам безопасности. Помимо этого, избегайте копирования и публикации ключей API, токенов и других конфиденциальных данных.
3. Проверяйте зафиксированный код
После фиксации кода проверьте его еще раз, чтобы убедиться в том, что все в порядке. Используйте инструменты статистического анализа кода, чтобы получить отчет об ошибках. Инструменты анализа не требуют, чтобы приложение было запущено, а многие их них вместе с отчетом предоставляют полезные советы.
Отправьте отчеты о сканировании кода в службу безопасности, чтобы узнать, требуется ли какая-либо доработка. Используйте системы отслеживания ошибок и регистрируйте результаты, чтобы вы могли убедиться, что все ошибки исправлены. Кроме того, проанализируйте историю Git на предмет подозрительных действий.
4. Защитите свой Git
Git – это приоритетная цель для хакеров. Убедитесь в том, что разработчики осведомлены о том, как использовать Git, и постоянно информируются о действиях компании.
Используйте файл .gitignore, чтобы исключить случайную фиксацию стандартных и сгенерированных кэшированных файлов. Имейте локально сохраненную и защищенную резервную копию
5. Проверяйте наличие уязвимостей в библиотеках с открытым исходным кодом
Библиотеки с открытым исходным кодом – это важный компонент при создании приложений. Однако программное обеспечение сторонних разработчиков может быть подвержено изменениям кода, что может косвенно повлиять на безопасность вашего приложения.
Обязательно анализируйте и сканируйте пакеты с открытым исходным кодом на наличие известных проблем безопасности. Используйте инструменты анализа композиции программного обеспечения для анализа стороннего программного обеспечения, компонентов или файлов.
И в конце пометьте все выявленные проблемы, чтобы сохранить качество кода на максимальном уровне.
6. Автоматизируйте обеспечение безопасности с помощью IaC
Инфраструктура, представленная как код (IaC) обеспечивает согласованные условия разработки и тестирования. В отличие от ручной настройки среды инструменты IaC, такие как Ansible, Terraform или Puppet, помогают автоматически обеспечивать безопасность инфраструктуры.
Дополнительное преимущество заключается в том, что IaC безупречно работает в цепочке инструментов DevOps. Постоянное тестирование конфигураций многократного применения и обеспечение исполнения установленных процедур гарантируют отличные производственные результаты и высокое качество программного обеспечения.
7. Мониторинг приложения после развертывания
После развертывания приложения постоянно сканируйте его и контролируйте с целью предотвратить любые угрозы. Мониторинг помогает отслеживать и устранять подозрительную активность на основе предоставляемых данных.
Используйте такие инструменты, как Grafana или Kibana, для создания интерактивных визуальных информационных панелей, чтобы получать уведомления о любых подозрительных действиях.
8. Распределите задачи и создайте ролевую модель доступа
Наделение пользователей правами доступа может замедлить и даже помешать процессу тестирования. Тем не менее, установление и применение ролевой модели доступа для выполнения только основных задач имеет решающее значение с точки зрения безопасности.
Когда дело доходит до Git, определите роли доступа для каждого репозитория и установите двухфакторную аутентификацию для каждого зафиксированного участка кода. Попробуйте применить систему разделения задач, чтобы обеспечить безопасность конвейера, сохраняя при этом непрерывную доставку.
9. Храните персональные данные в безопасности
Защитите все персональные данные, которые обеспечивают доступ к программному обеспечению и службам, такие как токены API, пароли, ключи SSH, ключи шифрования и т.д. Ненадежная защита персональных данных может дать возможность хакерам «нанести удар», что может привести к утечке данных и краже интеллектуальной собственности.
Поэтому используйте платформу управления ключами защиты для безопасного и автоматизированного доступа к ключам. Программное обеспечение обеспечивает использование учетных цифровых идентификационных данных только при явном запросе. Для управления несколькими сложными паролями используйте соответствующее программное обеспечение для управления паролями.
10. Наводите порядок
В среде CI/CD все процессы и задачи протекают быстро и без надлежащей очистки. Обязательно закрывайте все временные ресурсы, такие как виртуальные машины, контейнеры или процессы. Помимо этого, обеспечьте надлежащую безопасность в целом и удалите лишние утилиты и инструменты.
Заключение
Безопасность конвейера CI/CD – это процесс, который меняется от системы к системе. В данной статье была представлена процедура обеспечения безопасности конвейера CI/CD.
Современные IP сети должны обеспечивать надежную передачу пакетов сети VoIP и других важных служб. Эти сервисы должны обеспечивать безопасную передачу, определенную долю предсказуемости поведения трафика на ключевых узлах и конечно гарантированный уровень доставки пакетов. Сетевые администраторы и инженеры обеспечивают гарантированную доставку пакетов путем изменения параметров задержки, джиттера, резервирования полосы пропускания и контроля за потерей пакетов с помощью Quality Of Service (QoS).
Современные сети конвергентны. Это означает, что приходящей трафик в корпоративный сегмент сети, будь то VoIP, пакеты видеоконференцсвязи или обычный e-mail приходят по одному каналу передачу от Wide Area Network (WAN) . Каждый из указанных типов имеет свои собственные требования к передаче, например, для электронной почты задержка 700 мс некритична, но задержка 700 мс при обмене RTP пакетами телефонного разговора уже недопустима. Для этого и создаются механизмы QoS [описаны в рекомендации Y.1541]. Рассмотрим главные проблемы в корпоративных сетях:
Размер полосы пропускания: Большие графические файлы, мультимедиа, растущее количество голосового и видео трафика создает определенные проблемы для сети передачи;
Задержка пакетов (фиксированная и джиттер): Задержка – это время, которое проходит от момента передачи пакета до момента получения. Зачастую, такая задержка называется «end-to-end», что означает точка – точка. Она бывает двух типов:
Фиксированная задержка: Данные вид задержки имеет так же два подтипа: задержка сериализации и распространения. Сериализация - это время затрачиваемое оборудованием на перемещение бит информации в канал передачи. Чем шире пропускная способность канала передачи, тем меньше время тратится на сериализацию. Задержка распространения это время, требуемое для передачи одного бита информации на другой конец канала передачи;
Переменная сетевая задержка: Задержка пакета в очереди относится к категории переменной задержки. В частности, время, которое пакет проводит в буфере интерфейса, зависит от загрузки сети и относится так же к переменной сетевой задержке;
Изменение задержки (джиттер): Джиттер это дельта, а именно, разница между задержками двух пакетов;
Потеря пакетов: Потеря пакетов, как правило, вызывается превышением лимита пропускной способности, в результате чего теряются пакеты и происходят неудобства в процессе телефонного разговора.
Размер полосы пропускания
Рисунок иллюстрирует сети с четырьмя «хопами» - промежуточными узлами на пути следования пакета между сервером и клиентом. Каждый «хоп» соединен между собой своим типом среды передачи в разной пропускной способностью. В данном случае, максимальная доступная полоса для передачи равна полосе пропускания самого «узкого» места, то есть с самой низкой пропускной способностью.
Расчет доступной пропускной способности - это неотъемлемая часть настройки QoS, которая является процессом, осложненным наличием множества потоков трафика проходящего через сеть передачи данных и их необходимо учесть. Расчет доступной полосы пропускания происходит приблизительно по следующей формуле:
A=Bmax/F
где A – доступная полоса пропускания, Bmax – максимальная полоса пропускания, а F – количество потоков. Наиболее правильным методом при расчете пропускной способности является расчет с запасом в 10-20% от расчетной величины. Однако, увеличение пропускной способности вызывает удорожание всей сети и занимает много времени на осуществление. Но современные механизмы QoS могут быть использованы для эффективного и оптимального увеличения доступной пропускной способности для приоритетных приложений.
С помощью метода классификации трафика, алгоритм QoS может отдавать приоритет вызову в зависимости от важности, будь то голос или критически важные для бизнеса приложения. Алгоритмы QoS подразумевают предоставление эффективной полосы пропускания согласно требованиям подобных приложений; голосовой трафик должен получать приоритет отправки. Перечислим механизмы Cisco IOS для обеспечения необходимой полосы пропускания:
Priority queuing (приоритетная очередь или - PQ) или Custom queuing (пользовательская или настраиваемая очередь - CQ);
Modified deficit round robin - MDRR - Модифицированный циклический алгоритм с дополнительной очередью (маршрутизаторы Cisco 1200 серии);
Распределенный тип обслуживания, или Type Of Service (ToS) и алгоритм взвешенных очередей (WFQ) (маршрутизаторы Cisco 7x00 серии);
Class-Based Weighted Fair Queuing (CBWFQ) или алгоритм очередей, базирующийся на классах;
Low latency queuing (LLQ) или очередь с малой задержкой. Оптимизация использования канала путем компрессии поля полезной нагрузки «фреймов» увеличивает пропускную способность канала. С другой стороны, компрессия может увеличить задержку по причине сложности алгоритмов сжатия. Методы Stacker (укладчик) и Predictor (предсказатель) - это два алгоритма сжатия, которые используются в Cisco IOS.
Другой алгоритм эффективного использования канала передачи это компрессия заголовков. Сжатие заголовков особенно эффективно в тех сетях, где большинство пакетов имеют маленькое количество информационной нагрузки. Другими словами, если отношение вида (Полезная нагрузка)/(Размер заголовка) мало, то сжатие заголовков будет очень эффективно. Типичным примером компрессии заголовков может стать сжатие TCP и Real-time Transport Protocol (RTP) заголовков.
Задержка пакетов из конца в конец и джиттер
Рисунок ниже иллюстрирует воздействие сети передачи на такие параметры как задержка пакетов проходящих из одной части сетевого сегмента в другой. Кроме того, если задержка между пакетом с номером i и i + 1 есть величина, не равная нулю, то в добавок к задержке "end-to-end" возникает джиттер. Потеря пакетов в сети при передаче трафика происходит не по причине наличия джиттера, но важно понимать, что его высокое значение может привести к пробелам в телефонном разговоре. Каждый из узлов в сети вносит свою роль в общую задержку:
Задержка распространения (propagation delay) появляется в результате ограничения скорости распространения фотонов или электронов в среде передачи (волоконно-оптический кабель или медная витая пара);
Задержка сериализации (serialization delay) это время, которое необходимо интерфейсу чтобы переместить биты информации в канал передачи. Это фиксированное значение, которое является функцией от скорости интерфейса;
Задержка обработки и очереди в рамках маршрутизатора.
Рассмотрим пример, в котором маршрутизаторы корпоративной сети находятся в Иркутске и Москве, и каждый подключен через WAN каналом передачи 128 кбит/с. Расстояние между городами около 5000 км, что означает, что задержка распространения сигнала по оптическому волокну составит примерно 40 мс. Заказчик отправляет голосовой фрейм размером 66 байт (528 бит). Отправка данного фрейма займет фиксированное время на сериализацию, равное:
tзс = 528/128000=0,004125с=4.125 мс.
Также, необходимо прибавить 40 мс на распространение сигнала. Тогда суммарное время задержки составит 44.125 мс. Исходя из рисунка расчет задержки будет происходить следующим способом:
D1+Q1+D2+Q2+D3+Q3+D4
Если канал передачи будет заменен на поток Е1, в таком случае, мы получим задержку серилизации, равную:
tзс=528/2048000=0,00025781с=0,258 мс
В этом случае, общая задержка передачи будет равнять 40,258 мс.
Со временем все сталкиваются с проблемой нехватки места на диске компьютера. Если это ПК, то решить проблему сравнительно просто: добавляем еще один жёсткий диск на терабайт (при условии, что на материнской плате достаточно нужных разъемов). Но вот ноутбук - другое дело. Да, можно купить внешний жёсткий диск (у меня таких два по терабайту каждый) и носить с собой. Но есть риск повреждения диска и потери данных. Если перед вами стоит задача увеличения объёма жёсткого диска, то следующие несколько советов помогут временно решить эту проблему.
Очистка корзины
Самый простой способ - очистка корзины. При обычном удалении (например, через Delete или разделом Удалить из контекстного меню) с компьютера фотографий, видео или других уже ненужных файлов они не удаляются сразу. Это сделано чтобы предотвратить случайное удаление важных файлов. (Но это не помогает, когда ты "очень умный" и пользуешься Shift+Delete вместо Delete). В этом кейсе файлы перемещаются в корзину и занимают столь нужное место в памяти девайса. Чтобы очистить корзину на рабочем столе, сделайте правый клик кнопкой мыши на иконке корзины и выберите "Очистить корзину". Система еще раз предупреждает о невозможности восстановления файлов после данной операции. Для продолжения кликните кнопку "Да".
Очистка диска
Еще со времён XP (более старыми версиями я не пользовался) в Windows имеется встроенная утилита очистки диска, которая называется, как ни странно, "Очистка диска". Она может помочь освободить место путем удаления различных файлов, включая временные файлы Интернета, файл дампа системной памяти и даже предыдущие установки Windows, которые занимают немало места на HDD.
Очистку диска можно запустить из меню Пуск в меню Администрирование Windows → Очистка диска или просто найти с помощью поиска. Выберите типы файлов, которые вы хотите удалить - например загруженные программные файлы, миниатюры - и нажмите кнопку ОК. Если не знаете, какие файлы удалятся при выборе каждого из перечисленных элементов, нажмите кнопку Просмотр файлов, чтобы проверить, прежде чем продолжить. А если вы хотите удалить все, включая системные файлы, вроде папки Windows со старой установкой, выберите Очистить системные файлы.
Удаление временных файлов
В Windows 10 есть возможность удаления временных и неиспользуемых файлов на запустив утилиту очистки диска. Для этого перейдите в Настройки → Система и выберите Хранилище. Затем нажмите на Временные файлы и компьютер отобразит статистику использования системного диска (обычно это диск C). Из списка выберите тип данных, которых хотите удалить и нажмите на "Удалить файлы"
Включение контроля памяти
Еще одним нововведение в Windows 10 является возможность настройки периодической автоматической очистки хлама. Это делается с помощью функции Контроль памяти в настройках устройств хранилища в настройках системы. Можно настроить систему на автоматическую очистку корзины и папки Загрузки вплоть до одного раза в день. Также можно настроить перемещение редко используемых файлов в облако. Очень удобно, что Windows сама регулярно может очищать корзину, а также отслеживает старые и ненужные файлы.
Сохранение файлов на других дисках
Если на компьютере установлены более одного жесткого диска или же один достаточно емкий диск разбит на несколько разделов, и вы заметили, что место на данном диске или разделе заканчивается, то эту проблему легко можно решить. Для этого достаточно изменить место сохранения по умолчанию для приложений, документов, музыки, изображений и видео. Откройте меню "Параметры" и выберите Система → Хранилище, а затем щелкните ссылку внизу для изменения места сохранения нового содержимого. Вы можете выбрать раздел или дисковод, даже съемный накопитель, например, USB флэш-накопитель или карту памяти, который подключен к компьютеру.
Отключение режима гибернации
Вместо полного отключения компьютера его можно перевести в режим гибернации, который позволяет компьютеру быстрее запускаться. Когда компьютер переходит в спящий режим, он сохраняет снимок файлов и драйверов перед завершением работы, и это занимает много места. Если для некритично время запуска системы (в любом случае SSD диски никто не отменял), вы можете освободить немного места на жестком диске, полностью отключив режим гибернации, потому что файл hiberfil.sys может занять гигабайты места на диске.
Для этого запустите командную строку от имени администратора. В окне командной строки введите: powercfg/hibernate off, а затем нажмите Enter. (Если вам нужен будет этот режим, его можно повторно включить командой powercfg/hibernate.)
Удаление неиспользуемых приложений
У любого уважающего себя пользователя (особенно айтишника) на компьютере есть приложения и программы, которые не используется, либо приложения, которые установили и добросовестно забыли, или программное обеспечение, которое было предварительно установлено предусмотрительным производителем на компьютере. Чтобы узнать, какие приложения сколько места занимают, откройте меню "Параметры" и перейдите в раздел Приложения → Приложения и компоненты, а затем выберите "Сортировка по размеру". Чтобы удалить приложение из этого меню, выберите приложение и щелкните Удалить.
Если по той или иной причине на Windows 10 установлены устаревшие программы, в этом списке они не отобразятся (некоторые появляются, но некоторые нет). Чтобы найти их, откройте Панель управления, Программы и компоненты. Чтобы удалить программу из этого списка, щелкните ее левой кнопкой мыши, чтобы выбрать ее, и нажмите кнопку "Удалить" в верхней части списка.
Хранение файлов в облачных хранилищах
Если вы используете облачное хранилище вроде OneDrive (идет по умолчанию с Windows 10) или другой службы, возможно, на компьютере имеются дубликаты фотографий или других файлов. Это не обязательно - все облачные службы хранения позволяют выбирать папки, которые загружаются и хранятся на компьютере (или в облаке).
В случае с OneDrive щелкните правой кнопкой мыши значок OneDrive на панели задач и выберите Параметры. На вкладке Настройки установите флажок Экономить место и загружать файлы при необходимости. Этот параметр позволяет просматривать файлы, хранящиеся в OneDrive из проводника на компьютере, что позволяет показать все локальные и облачные файлы в одном месте. В проводнике в столбце "Состояние" можно отследить статус файлов в папке OneDrive. Имеются три состояния, который отмечены разными значками.
Синее облако: файл хранится в облаке
Зеленая галочка внутри белого кружочка: файл хранится локально, но если места станет мало он будет загружен обратно в облако;
Белая галочка внутри зелёного кружочка: файл хранится локально, независимо от оставшегося маста.
Можно легко перемещать папки и файлы OneDrive на компьютер и обратно. Чтобы переместить файл или папку, хранящуюся в OneDrive, на компьютер, щелкните его правой кнопкой мыши и выберите "Всегда сохранять на этом устройстве". Чтобы удалить локальную копию файла или папки и сохранить ее только в OneDrive, щелкните ее правой кнопкой мыши и выберите "Освободить место".