Standardisera säkra utvecklingspipelines (Secure Future Initiative)

Grundpelarnamn: Skydda tekniska system

Mönsternamn: Standardisera säkra utvecklingskedjor

Kontext och problem

CI/CD-pipelines är ryggraden i modern programvaruleverans. Men när de lämnas ohanterade kan de också bli en blind fläck.

För många organisationer som använder verktyg som Azure DevOps (AzDO) får utvecklingsteam flexibiliteten att skapa och distribuera programvara på ett sätt som passar deras unika arbetsflöden. Men med tiden kan den flexibiliteten leda till fragmentering. Kunder kan upptäcka att olika team inom samma organisation implementerar CI/CD-pipelines inkonsekvent med hjälp av olika säkerhetskontroller, efterlevnadsvalidering och automatiseringslogik. Den här inkonsekvensen ökar risken för säkerhetsbrister, saktar ner registreringen för nya teammedlemmar och gör det svårare att tillämpa företagsomfattande standarder för att snabbt reagera på nya hot.

Denna brist på standardisering kan göra det svårt att:

  • Framtvinga företagsomfattande säkerhets- eller regelprinciper
  • Generera programvarufakturor (SBOM) enligt krav i Executive Order 14028
  • Tillämpa uppdateringar enhetligt över tusentals datakanaler

Resultatet är ett lapptäcke av metoder som fördröjer säkerhetsimplementeringen, ökar efterlevnadsrisken och skapar onödiga omkostnader för tekniska team.

Lösning

För att hantera den här utmaningen i stor skala utvecklade Microsoft reglerade pipelinemallar som en del av SFI (Secure Future Initiative). Dessa centralt hanterade Azure DevOps YAML-mallar och GitHub-åtgärder kodar standardiserad logik, säkerhetskontroller och efterlevnadskrav så att teamen kan gå snabbare utan att äventyra förtroendet.

Styrda pipeline-mallar fungerar som skisser som säkerställer säkerhet som standard och som teamen kan utöka för att möta lokala behov medan de upprätthåller en kärnuppsättning funktioner och efterlevnadskraven. Den här metoden balanserar centraliserad kontroll med utvecklarnas autonomi.

Mallarna stöder en rad arbetsflöden, bland annat:

  • Validering av pull-begäran (PR)
  • Officiella kompileringar
  • Versionsautomatisering
  • Tjänster som omfattar webbprogram, skrivbordsprogram, mikrotjänster och ML-modeller

Microsoft slutförde distributionen av reglerade pipelinemallar på två kvartal. Idag hanteras 92% av Microsofts kommersiella molnproduktionspipelines centralt.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resurs
Utnyttja inbyggda verktyg
  • Identifiera vilka säkerhets-, efterlevnads- och produktivitetsverktyg som ska byggas in i varje pipeline
  • Använd regelbehov och SDL-princip som utgångspunkt
Skapa en gemensam mall
  • Skapa en återanvändbar "utökar" YAML-mall som definierar nödvändig logik och faser
  • Begränsa åsidosättningar för att förhindra oavsiktlig borttagning av principer
Stöd för lokala tillägg Tillåt team att skapa mallar för hubbar som lägger till lokala funktioner utan att ändra kärnfunktionerna. Konfigurera DevOps-tillägget Azure DevOps för Microsoft Security
Automatisera generering av bevis Inkludera SBOM:er, testresultat, säkerhetsgenomsökningar och efterlevnadsartefakter i byggprocessen ACR – Hantera OCI-artefakter

Utfall

Fördelar

  • Snabb introduktion för nya team, som kan använda säkra pipelines direkt
  • Minska risken för felkonfigurationer, inkonsekvent tillämpning eller mänskliga fel
  • Öka efterlevnadstäckningen, inklusive SBOM:er och reglerande portgrindar
  • Förbättra insynen i pipelineanvändning, hälsa och principefterlevnad
  • Stöd för skalbar innovation genom att kontinuerligt utveckla centrala mallar
  • Förenkla supporten eftersom pipelineverktygen underhålls och optimeras av ett dedikerat team – vilket frigör tekniker att fokusera på produktutveckling

Kompromisser

  • Standardisering av pipelines kräver betydande samordning, ändringshantering och initiala investeringar
  • Teams måste migrera anpassad logik till spoke-mallar, vilket kan avslöja nära kopplade eller inaktuella pipelineutformningar
  • Alla gränsfall stöds inte, vilket kräver en balans mellan flexibilitet och säkerhet – men de långsiktiga vinsterna uppväger de initiala utmaningarna

Viktiga framgångsfaktorer

Organisationer kan spåra framgång med hjälp av följande indikatorer:

  • Procent av aktiva pipelines som använder reglerade mallar
  • SBOM-genereringstäckning i produktionsversioner
  • Antal pipelines som passerar jämfört med misslyckade efterlevnadskontroller
  • Dags att tillämpa nya princip- eller säkerhetsuppdateringar i alla pipelines
  • Antal supportärenden eller buggar som rör inkonsekvens i pipeline eller felkonfiguration

Sammanfattning

Lär dig hur Microsoft omvandlar utvecklingspipelines till säkerhetsinriktade system, redo för det som kommer härnäst.

  • Last updated on