GitLab
·
GitLab 如何支持 NSA 和 CISA 的 CI/CD 安全指南
💡
原文英文,约1800词,阅读约需7分钟。
📝
内容提要
NSA和CISA发布了一份CSI,提供云原生DevSecOps环境的最佳实践建议,GitLab的功能支持实施建议的缓解措施,包括身份验证和访问缓解、安全用户帐户、安全秘密、开发过程缓解和计划、构建和测试的弹性。GitLab还支持实施SBOM和SCA以跟踪代码库中的所有第三方和开源组件。
🎯
关键要点
- NSA和CISA发布了针对云原生DevSecOps环境的最佳实践建议。
- CI/CD环境面临诸多威胁,包括代码盗窃和恶意链接注入。
- 常见的CI/CD风险包括不安全的第一方和第三方代码、管道执行被污染和访问控制不足。
- GitLab支持实施NSA和CISA的缓解措施,包括身份验证和访问控制。
- 建议使用强加密算法,GitLab实现了TLS 1.2+和AES-256位加密。
- GitLab支持集中身份验证和授权,提供SAML SSO和SCIM集成。
- GitLab允许对CI/CD配置进行签名并验证,以建立数字信任。
- 实施最小权限策略,限制CI/CD访问权限。
- 定期审计用户账户,确保符合最小权限和职责分离原则。
- GitLab的秘密检测功能可以扫描代码库中的暴露秘密。
- 在CI/CD流程中集成安全扫描,包括静态和动态应用安全测试。
- 使用来自安全和可信来源的软件、工具和库。
- 分析提交的代码以识别漏洞和逻辑缺陷。
- 确保临时资源在测试后被销毁,保持审计日志以追踪重要事件。
- 实施软件材料清单(SBOM)和软件组成分析(SCA)以跟踪第三方组件。
- GitLab提供高可用性和灾难恢复的策略,以支持平台的可用性。
➡️
