在主要加固文档中概述了一般的加固指南和理念。
以下讨论了有关 CI/CD 的加固建议和概念。
基本建议
如何配置不同的 CI/CD 设置取决于您对 CI/CD 的使用。例如,如果您使用它来构建软件包,则通常需要实时访问外部资源,如 Docker 镜像或外部代码库。如果您将其用于基础设施即代码 (IaC),则通常需要存储外部系统的凭据以自动化部署。对于这些和许多其他场景,您需要存储可能在 CI/CD 操作期间使用的敏感信息。由于各个场景本身繁多,我们总结了一些基本信息来帮助加固 CI/CD 过程。
一般指导是:
- 保护密钥。
- 确保网络通信是加密的。
- 使用详尽的日志记录进行审计和故障排除。
具体建议
流水线是极狐 GitLab CI/CD 的核心组件,它们以阶段的形式执行作业,以自动化项目用户的任务。有关处理流水线的具体指南,请参阅有关流水线安全性的信息。
部署是 CI/CD 中将流水线结果部署到给定环境的部分。默认设置不会施加很多限制,并且由于具有不同角色和责任的不同用户可以触发可能与这些环境交互的流水线,因此您应该限制这些环境。有关更多信息,请参阅受保护环境。