Standardisieren sicherer Entwicklungspipelines (Secure Future Initiative)

Pfeilername: Schützen von Ingenieursystemen

Mustername: Standardisierung sicherer Entwicklungspipelines

Kontext und Problem

CI/CD-Pipelines sind das Rückgrat der modernen Softwarebereitstellung. Aber wenn sie nicht verwaltet werden, können sie auch ein blinder Punkt werden.

Für viele Organisationen, die Tools wie Azure DevOps (AzDO) verwenden, genießen Entwicklungsteams die Flexibilität, Software so zu erstellen und bereitzustellen, dass sie ihren einzigartigen Workflows entsprechen. Aber im Laufe der Zeit kann diese Flexibilität zu Fragmentierung führen. Kunden stellen möglicherweise fest, dass verschiedene Teams innerhalb derselben Organisation CI/CD-Pipelines inkonsistent implementieren, indem verschiedene Sicherheitsprüfungen, Complianceüberprüfungen und Automatisierungslogik verwendet werden. Diese Inkonsistenz erhöht das Risiko von Lücken in der Sicherheit, verlangsamt das Onboarding für neue Teammitglieder und macht es schwieriger, unternehmensweite Standards für die schnelle Reaktion auf neue Bedrohungen zu erzwingen.

Dieser Mangel an Standardisierung kann es schwierig machen:

  • Erzwingen von unternehmensweiten Sicherheits- oder behördlichen Vorschriften
  • Erstellen Sie Software-Materialstücklisten (SBOMs) gemäß der Vorschrift Executive Order 14028.
  • Einheitliches Anwenden von Updates über Tausende von Pipelines

Das Ergebnis ist ein Patchwork von Praktiken, die die Einführung der Sicherheit verlangsamen, das Compliancerisiko erhöhen und unnötigen Aufwand für Engineering-Teams schaffen.

Lösung

Um diese Herausforderung im Großen und Umfang zu bewältigen, hat Microsoft governed Pipeline-Vorlagen als Teil der Secure Future Initiative (SFI) entwickelt. Diese zentral verwalteten Azure DevOps YAML-Vorlagen und GitHub-Aktionen codieren standardisierte Logik, Sicherheitskontrollen und Complianceanforderungen, sodass Teams schneller gehen können, ohne das Vertrauen zu beeinträchtigen.

Verwaltete Pipelinevorlagen dienen als standardmäßig sichere Vorlagen, die Teams erweitern können, um lokale Anforderungen zu erfüllen und gleichzeitig eine Kernmenge an Funktionen und Richtlinien aufrechtzuerhalten. Dieser Ansatz gleicht die zentrale Kontrolle mit der Autonomie des Entwicklers ab.

Die Vorlagen unterstützen eine Reihe von Workflows, einschließlich:

  • Validierung des Pull Requests (PR)
  • Offizielle Builds
  • Freigabeautomatisierung
  • Dienste, die Webanwendungen, Desktopanwendungen, Microservices und ML-Modelle umfassen

Microsoft hat das Rollout von gesteuerten Pipelinevorlagen in zwei Quartalen abgeschlossen. Heute werden 92% der kommerziellen Cloudproduktionspipeline von Microsoft zentral verwaltet.

Beratung

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall Empfohlene Aktion Ressource
Nutzen von integrierten Tools
  • Ermitteln, welche Sicherheits-, Compliance- und Produktivitätstools in jede Pipeline integriert werden sollen
  • Verwenden von gesetzlichen Anforderungen und SDL-Richtlinien als Ausgangspunkt
Erstellen einer allgemeinen Vorlage
  • Erstellen Sie eine wiederverwendbare YAML-Vorlage "extends", die die erforderliche Logik und Phasen definiert.
  • Außerkraftsetzungen einschränken, um versehentliches Entfernen von Richtlinien zu verhindern
Unterstützen Sie lokale Erweiterungen Zulassen, dass Teams Speichenvorlagen erstellen, die lokale Funktionen hinzufügen, ohne die kernigen Features zu ändern Microsoft Security DevOps Azure DevOps-Erweiterung konfigurieren
Automatisieren der Generierung von Nachweisen Integrieren Sie SBOMs, Testergebnisse, Sicherheitsüberprüfungen und Compliance-Artefakte in den Build-Prozess. ACR – Verwalten von OCI-Artefakten

Ergebnisse

Vorteile

  • Schnelles Onboarding für neue Teams, die sichere Pipelines sofort einführen können
  • Verringern des Risikos von Fehlkonfigurationen, inkonsistenter Durchsetzung oder menschlichem Fehler
  • Erhöhen Sie die Compliance-Abdeckung, einschließlich SBOMs und regulatorischer Kontrollpunkte
  • Verbesserung der Sichtbarkeit der Pipelinenutzung, des Gesundheitszustands und der Richtlinieneinhaltung
  • Unterstützung skalierbarer Innovationen durch kontinuierlich weiterentwickelnde zentrale Vorlagen
  • Unterstützung wird vereinfacht, indem die Pipeline-Werkzeuge von einem dedizierten Team verwaltet und optimiert werden – so können sich die Ingenieure auf die Produktentwicklung konzentrieren.

Kompromisse

  • Die Standardisierung von Pipelines erfordert erhebliche Koordination, Änderungsmanagement und Vorabinvestitionen
  • Teams müssen benutzerdefinierte Logik in Speichenvorlagen migrieren, wodurch eng gekoppelte oder veraltete Pipelinedesigns offengelegt werden können.
  • Nicht jeder Sonderfall wird unterstützt, was ein Gleichgewicht zwischen Flexibilität und Sicherheit erfordert. Dennoch überwiegen die langfristigen Gewinne die anfänglichen Herausforderungen.

Wichtige Erfolgsfaktoren

Organisationen können den Erfolg mithilfe der folgenden Indikatoren nachverfolgen:

  • Prozentsatz der aktiven Pipelines, die gesteuerte Vorlagen verwenden
  • SBOM-Generierungsabdeckung über Produktionsbuilds hinweg
  • Anzahl der Pipelines, die im Vergleich zu ausfallenden Compliance-Gates übergeben werden
  • Zeit für die Anwendung neuer Richtlinien oder Sicherheitsupdates für alle Pipelines
  • Anzahl der Supporttickets oder Fehler im Zusammenhang mit Pipeline-Inkonsistenzen oder Fehlkonfigurationen

Zusammenfassung

Erfahren Sie, wie Microsoft Entwicklungspipelinen in Sicherheitssysteme umwandelt, die bereit für alles sind, was als Nächstes kommt.

  • Last updated on