Todos os cursos > Informática ( TI ) > Ferramentas de TI ::

11.14. Configuração de um pipeline de Integração Contínua (CI): Segurança no Pipeline de CI

Página 25

11.14. Configuração de um Pipeline de Integração Contínua (CI): Segurança no Pipeline de CI

A integração contínua (CI) é uma prática de desenvolvimento de software na qual os desenvolvedores mesclam suas mudanças de código em um repositório central várias vezes ao dia. Cada integração pode então ser verificada por um build automatizado e testes para detectar problemas de integração rapidamente. No entanto, tão importante quanto a integração rápida é garantir a segurança do pipeline de CI. A segurança no pipeline de CI é crucial para prevenir vulnerabilidades no código, vazamentos de informações sensíveis e acessos não autorizados.

Princípios de Segurança no Pipeline de CI

Antes de configurar o pipeline de CI, é essencial compreender e aplicar os princípios de segurança para proteger tanto o processo quanto o produto do desenvolvimento de software. Alguns desses princípios incluem:

  • Princípio do Privilégio Mínimo: Cada processo ou usuário deve ter apenas as permissões necessárias para realizar suas tarefas.
  • Autenticação e Autorização: É vital garantir que apenas usuários autenticados e autorizados possam acessar e executar operações no pipeline de CI.
  • Gerenciamento de Secretos: As credenciais e chaves de API devem ser armazenadas e gerenciadas com segurança, utilizando ferramentas específicas para esse fim.
  • Auditoria e Monitoramento: Manter registros detalhados de todas as atividades no pipeline e monitorar ativamente para detectar comportamentos suspeitos ou não autorizados.
  • Atualizações e Patches: Mantenha todas as ferramentas, dependências e componentes do sistema atualizados para evitar vulnerabilidades conhecidas.

Implementando Segurança no Pipeline de CI

A seguir, estão as etapas e considerações para implementar segurança em um pipeline de CI:

1. Autenticação e Controle de Acesso

Utilize autenticação forte, como autenticação de dois fatores (2FA), para todos os usuários que acessam o pipeline de CI. Defina políticas de controle de acesso baseadas em funções (RBAC) para limitar o que cada usuário ou processo pode fazer dentro do pipeline.

2. Gerenciamento de Secretos

Use uma ferramenta de gerenciamento de secretos para armazenar, rotacionar e acessar segredos como tokens de API, chaves SSH e credenciais de banco de dados. Ferramentas como HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault são projetadas para esse propósito.

3. Análise de Código e Dependências

Integre ferramentas de análise estática de código (SAST) e análise de composição de software (SCA) no pipeline para detectar vulnerabilidades de segurança no código e nas bibliotecas de terceiros. Ferramentas como SonarQube, Snyk ou WhiteSource podem ser utilizadas.

4. Testes de Segurança Dinâmicos

Além da análise estática, inclua testes de segurança dinâmicos (DAST) para simular ataques contra o aplicativo em um ambiente de teste. Isso ajuda a identificar vulnerabilidades de segurança que só são visíveis durante a execução do aplicativo.

5. Segurança do Ambiente de Build

Assegure-se de que o ambiente onde o build é executado seja seguro. Isso inclui a utilização de contêineres seguros, servidores de build dedicados e limitando o acesso à rede apenas ao necessário.

6. Isolamento de Build

Implemente o isolamento de builds para evitar que um build afete outro e para proteger o ambiente de build de acessos não autorizados. Isso pode ser feito utilizando máquinas virtuais, contêineres ou executores de build dedicados.

7. Proteção contra Modificação de Código

Garanta que o código-fonte e os artefatos de build estejam protegidos contra modificações não autorizadas. Utilize assinaturas digitais e hashes para verificar a integridade dos artefatos.

8. Monitoramento e Logging

Monitore o pipeline de CI para detectar atividades suspeitas e configure o logging detalhado de todas as operações. Ferramentas de monitoramento e sistemas de gerenciamento de logs podem ser integrados para fornecer visibilidade e alertas.

9. Treinamento e Conscientização

Invista em treinamento e conscientização em segurança para a equipe de desenvolvimento e operações. A segurança é uma responsabilidade compartilhada, e todos os envolvidos devem estar cientes das melhores práticas e procedimentos.

10. Revisão e Auditoria Contínuas

Realize auditorias de segurança regulares no pipeline de CI para garantir que as políticas e controles de segurança estejam sendo seguidos e para identificar e corrigir quaisquer lacunas.

Conclusão

A segurança no pipeline de CI é fundamental para o desenvolvimento de software seguro. Ao implementar as práticas mencionadas acima, as organizações podem garantir que seu processo de integração contínua seja robusto e seguro contra ameaças internas e externas. Lembre-se de que a segurança é um processo contínuo e deve evoluir com as mudanças na tecnologia e no cenário de ameaças.

Agora responda o exercício sobre o conteúdo:

Qual das seguintes opções NÃO é uma prática recomendada para garantir a segurança em um Pipeline de Integração Contínua (CI)?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Próxima página do Ebook Gratuito:

2611.15. Configuração de um pipeline de Integração Contínua (CI): Monitoramento e Logging

Ganhe seu Certificado deste Curso Gratuitamente! ao baixar o aplicativo Cursa e ler o ebook por lá. Disponível na Google Play ou App Store!

Disponível no Google Play Disponível no App Store

Este artigo pertence ao Ebook Gratuito:

Introdução ao DevOps e automação de CI/CD (Integração Contínua e Entrega Contínua)

Novo curso

59 páginas

Cursos online gratuitos sobreFerramentas de TI

Curso gratuito para aprender a como usar Ferramentas de TI com a Cursa.app para Gerenciamento de sistemas, diminuição de custos, melhorias em equipamentos

Cursos online gratuitos sobreInformática ( TI )

Cursos online de Informática gratuitos, do básico ao avançado com cursos online de informática básica, programação, excel e outros. Todos com certificado.

+ de 6,5 milhões
de alunos

Certificado Gratuito e
Válido em todo o Brasil

48 mil exercícios
gratuitos

4,8/5 classificação
nas lojas de apps

Cursos gratuitos em
vídeo, áudio e texto

Informática ( TI )215 cursos Informática básica, 12 cursos | Para o Escritório ( Excel, Word, LibreOffice, ), 23 cursos | Programação Front-End, 38 cursos | Manutenção de computadores, 9 cursos | Linguagens de programação multiuso ( Python, Ruby, Java, C ), 21 cursos | Lógica de programação, 10 cursos | Segurança da informação, 8 cursos | Ferramentas de TI, 10 cursos | Programação de Aplicativos, 19 cursos | Servidores Web e Redes de computadores, 8 cursos | Programação de Jogos, 13 cursos | QA - Testes de software, 9 cursos | Banco de dados, 11 cursos | Inteligência Artificial e Ciência de dados, 12 cursos | Sistemas operacionais, 4 cursos | Programação back-end, 8 cursos |
Profissionalizantes233 cursos Atendimento ao cliente, Secretariado e Recepção, 16 cursos | Operador de caixa, 6 cursos | Pedagogia, 14 cursos | Manutenção de celulares, 9 cursos | Eletrônica, 22 cursos | Manutenção de automovéis, 18 cursos | Barbearia, 7 cursos | Logística e produção industrial, 10 cursos | Segurança do trabalho, 11 cursos | Estoquista e Repositor, 3 cursos | Artesanato, 13 cursos | Garçom e Barman, 6 cursos | Construção civil, 19 cursos | Manutenção de motocicletas, 6 cursos | Soldagem e Serralheria, 9 cursos | Agronegócio e Meio ambiente, 8 cursos | Corretor de imóveis, 5 cursos | Marcenaria e móveis, 7 cursos | Jornalismo, 6 cursos | Ar condicionado, Refrigeração e Climatização, 4 cursos | Segurança Patrimonial e Privada, 4 cursos | Moda, corte e costura, 9 cursos | Aviação e Náutica, 7 cursos | Gráfica, 3 cursos | Hotelaria, 7 cursos | Outras profissões, 4 cursos |
Administração e Negócios94 cursos Gestão de empresas e Empreendedorismo, 14 cursos | Marketing digital, 16 cursos | Recursos Humanos, 6 cursos | Vendas e Comércio eletrônico, 9 cursos | Contabilidade, 8 cursos | Investimentos, 12 cursos | Finanças pessoais, 5 cursos | Finanças empresariais, 5 cursos | Gestão pública e Política, 10 cursos | Economia, 4 cursos | Gestão de projetos, 5 cursos |
Idiomas e comunicação81 cursos Inglês, 17 cursos | Espanhol, 10 cursos | Libras, 7 cursos | Oratória e Locução, 5 cursos | Francês, 6 cursos | Italiano, 6 cursos | Coreano, 4 cursos | Japonês, 6 cursos | Hebraico, 5 cursos | Chinês / Mandarim, 4 cursos | Alemão, 6 cursos | Russo, 3 cursos | Latim, 2 cursos |
Saúde94 cursos Enfermagem, 14 cursos | Psicologia, 8 cursos | Cuidados com idosos e crianças, 9 cursos | Anatomia, 16 cursos | Primeiros socorros, 8 cursos | Farmacologia, 9 cursos | Nutrição e emagrecimento, 8 cursos | Educação Física, 4 cursos | Veterinária, 10 cursos | Fisioterapia, 3 cursos | Legislação, 4 cursos | Gestantes, 1 cursos |
ENEM e Vestibulares109 cursos Matemática, 16 cursos | Redação, 7 cursos | Português, 7 cursos | Ensino Fundamental, 11 cursos | História, 12 cursos | Biologia, 8 cursos | Geografia, 8 cursos | Física, 15 cursos | Filosofia, 4 cursos | Estatística e Probabilidade, 5 cursos | Sociologia, 5 cursos | Química, 7 cursos | Literatura, 4 cursos |
Design e Arte65 cursos Design gráfico, 12 cursos | Edição de imagens, 5 cursos | Edição de vídeo, 10 cursos | Desenho técnico e arquitetônico, 15 cursos | UX / UI - Experiência do usuário, 11 cursos | Design de interiores, 4 cursos | Desenho no papel e animações, 8 cursos |
Concursos111 cursos Raciocínio Lógico, 9 cursos | Informática para concursos, 5 cursos | Policia Militar, 9 cursos | Caixa econômica, 8 cursos | INSS, 10 cursos | Forças Armadas, 13 cursos | Policia Federal, 11 cursos | Detran, 6 cursos | Polícia Civil, 9 cursos | Técnico Judiciário, 10 cursos | Bombeiros, 3 cursos | Policia Rodoviária Federal, 8 cursos | Banco do Brasil, 7 cursos | Outros concursos, 3 cursos |
Estética24 cursos Design de sobrancelhas e cílios, 8 cursos | Maquiagem, 6 cursos | Manicure e Pedicure, 7 cursos | Cuidados com a pele, 3 cursos |
Direito40 cursos Direito administrativo, 8 cursos | Direito penal, 6 cursos | Direito processual civil, 6 cursos | Direito constitucional, 5 cursos | Direito do trabalho, 4 cursos | Direito imobiliário, 1 cursos | Direito previdenciário, 1 cursos | Estatutos, 1 cursos | Direito do consumidor, 3 cursos | Direito tributário, 2 cursos | Outros em direito, 3 cursos |
Musicais43 cursos Canto, 7 cursos | Violão, 5 cursos | Piano e teclado, 5 cursos | Guitarra, 8 cursos | Baixo, 4 cursos | Bateria, 3 cursos | DJ, 3 cursos | Saxofone e flauta, 3 cursos | Violino, 2 cursos | Acordeon, 2 cursos | Cavaquinho, 1 cursos |
Outros82 cursos Culinária, 17 cursos | Confeitaria, 8 cursos | Massagem / Massoterapia, 4 cursos | Fotografia, 8 cursos | Youtuber, 4 cursos | Teologia, 3 cursos | Teatro, 6 cursos | Astronomia e Astrologia, 5 cursos | Dança, 3 cursos | Jogos e esportes, 13 cursos | Robótica / Arduino, 8 cursos | Mágica, 2 cursos | Hipnose, 1 cursos |

O projeto Cursa oferece cursos de graça com certificados de forma prática e rápida sendo autorizado através da Lei nº 9.394/96 Decreto nº 5.154/04; Deliberação CEE 14/97 (Indicação CEE 14/97) Parecer 285/04 se enquadrando na categoria de educação profissional de nível básico.
[email protected]

MEDEIROS TECNOLOGIA LTDA - CNPJ 24.471.978/0001-08

Acesse em outras linguagens:

Inglês Espanhol French Hindi

Modo noturno

Disponível no Google Play Disponível no App Store
Logo da ABED - Associação Brasileira de Ensino à Distância DMCA.com Protection Status