现代 DevOps 团队需要快速行动,但他们也需要控制和保护。这就是 安全性 guardrails 进来。充当自动化层 策略管理软件 在整个开发生命周期中,这些 DevOps的 guardrails 帮助团队保持强劲 CI/CD pipeline security 通过阻止不安全的合并、检测有风险的配置以及自动执行安全工作流程。
与 西吉尼 Guardrails,这项保护措施现在变得更加易于管理。新版 WebUI 允许您查看、编辑和应用所有 guardrails 直接从界面执行,使每个开发人员的策略执行更快、更简单。
新功能:管理安全 Guardrails 在 Xygeni WebUI 中
最新 Xygeni 版本 介绍完整的 护栏管理 直接在 WebUI 中。从侧边栏的新部分,团队可以轻松查看所有活跃的 guardrails,编辑其逻辑,并跟踪其在各个项目的状态。
从此界面,您可以:
- 列出并过滤所有现有的 guardrails 与他们目前的状态。
- 创建、编辑和删除 guardrails 不离开 dashboard.
- 上传 guardrails 从文件中或使用内置语法编辑器内联编辑它们。
这一改进简化了整个工作流程。无需编写或更新 guardrails 通过配置文件,团队可以直观地管理它们。 因此,安全策略在 pipeline减少手工工作并提高可视性。
什么是安全 Guardrails 在软件方面?
简单来说,安全 guardrails 旨在 防止危险行为的自动化规则 在你的 开发和交付过程。 它们作为策略管理软件的一部分,让您可以控制每个策略中发生的事情。 pipeline 而不会减慢开发人员的速度。
这些 DevOps 不再依赖人工审查或后期扫描, guardrails 自动阻止不安全行为,防止其进入生产环境。它们充当预定义策略,实时决定哪些行为可以放行、哪些行为可以修复、哪些行为可以阻止。
例如,安全护栏可以:
- 如果在代码中发现秘密,则构建失败。
- 当依赖项包含严重漏洞时阻止合并。
- 如果配置文件违反了安全规定,则停止部署 standard.
换句话说,安全 guardrails 就像 DevOps 工作流程的智能安全栏杆一样。它们可以保证你的 pipeline快速、合规、安全,同时确保一致性 CI/CD pipeline security 涵盖每个项目。
如何安全 Guardrails 加强 CI/CD Pipeline Security
Guardrails 不是静态的检查。相反,它们是动态的政策,可以响应您所在地区的实际情况。 pipeline.
每条规则都包含条件(当这个情况发生时) 和行动 (然后这样做),这样当出现违规时,您的构建或合并就会停止。
例如:
- 检测秘密: 停止 commit当 API 密钥或凭证出现在代码中时。
- 检查依赖项:如果新的依赖项引入了关键的 CVE,则构建失败。
- 验证配置: 旗 IaC 具有暴露端口或不安全默认值的模板。
计划 guardrails 运行于 pipeline 运行, 他们确保 CI/CD pipeline security 也完全不需要 添加 瓶颈。开发人员可以继续快速推送代码,同时系统会自动执行规则。
更广泛地概述 CI/CD 安全原则,请参阅 OWASP CI/CD 安全指南。
西吉尼 Guardrails 作为 DevSecOps 的策略管理软件
作为其政策管理软件的一部分, 西吉尼 将手动规则变成 自动化 DevOps guardrails 那个跑 在每个项目中。 这些 guardrails 对开发人员、运营和合规团队实施相同的安全策略,帮助统一 CI/CD pipeline security 全公司上下共同努力。
每个护栏都遵循简单的逻辑结构,定义在 XyFlow,Xygeni 的领域特定自动化语言。规则可以根据不同的需求进行调整,从阻止关键机密到阻止有风险的配置更改,所有这些都通过清晰易读的表达式实现:
guardrail
on secrets, misconf
when severity = 'critical'
then @exitcode(167)
这条规则意味着,当出现关键秘密或错误配置时,构建会立即停止。
以这种方式, guardrails 充当自动策略执行的智能层,允许 DevSecOps 团队在代码通过时保持合规性 pipeline.
创建自定义 Guardrails:真实示例和用例
Xygeni 包含许多可立即使用的示例,因此团队可以快速适应:
1. 关键问题退出
on any
when severity = 'critical'
then @exitcode(167)
2. 不允许泄露新的关键机密
on any
when severity = 'critical'
then @exitcode(167)
3. 高可信度错误配置
on cicd
when severity >= 'high' and confidence >= 'high'
then @exitcode(177)
实施安全性的最佳实践 Guardrails
为了从中获得最大价值 guardrails,在每个项目中应用一致的政策非常重要。
设置安全时 guardrails将它们视为策略管理软件的组成部分。定期更新您的 DevOps guardrails 随着你的工具和威胁不断演变,并审查它们在每个方面的行为 pipeline 保持持续的安全。
下表总结了需要保持的关键做法 pipeline安全且合规。
| 类别 | 最佳实践 | 为什么重要 |
|---|---|---|
| 智能门禁 | 对令牌和跑步者应用最小特权 | 防止未经授权的访问 |
| 保密管理 | 阻止代码或日志中暴露的凭据 | 降低泄漏风险 |
| 依赖安全 | 扫描并验证开源软件包 | 阻止恶意软件和易受攻击的版本 |
| IaC 验证 | 确保 IaC 危险配置的文件 | 防止基础设施配置错误 |
| 政策执行 | 添加 guardrails 阻止不安全的合并 | 直接在 CI/CD |
| 持续监控 | 评价 guardrails 并定期制定政策 | 保持 pipeline与安全目标保持一致 |
总结
安保防护 guardrails 代表了现代团队在安全应用方式上的切实转变。他们不再在开发结束时添加检查,而是将保护措施直接引入交付流程。通过将规则转化为自动化控制,团队可以减少错误,避免配置错误,并保持 pipeline设计安全。
使用 Xygeni Guardrails,组织获得一个灵活的策略管理软件层,可以适应任何 CI/CD 环境。这些 DevOps guardrails 使合规性持续且轻松,在每个开发阶段保持安全性和生产力的一致。
开始构建更安全的建筑 pipeline定义、管理和应用您的安全 guardrails 直接从 Xygeni WebUI 体验更快的安全交付途径。
