2.8. 保护构建过程
在容器环境中,软件构建过程是生命周期中应用程序代码与所需的运行时库集成的阶段。管理此构建过程是保护软件堆栈的关键。
2.8.1. 一次构建,随处部署 复制链接链接已复制到粘贴板!
使用 OpenShift Container Platform 作为容器构建的标准平台可保证构建环境的安全。遵循“一次构建,随处部署”的原则可确保构建过程的产品就是在生产环境中部署的产品。
保持容器的不可变性也是很重要的。您不应该修补运行中的容器,而应该重建并重新部署这些容器。
随着您的软件逐步进入构建、测试和生产阶段,组成软件供给链的工具必须是可信的。下图演示了可整合到容器化软件的可信软件供应链中的流程和工具:
OpenShift Container Platform 可以与可信代码存储库(如 GitHub)和开发平台(如 Che)集成,用于创建和管理安全代码。单元测试可以依赖 Cucumber 和 JUnit。
您可以使用 Red Hat Advanced Cluster Security for Kubernetes 检查容器是否有漏洞和配置问题。对于存储在 Quay 中的镜像,您可以使用 Clair 扫描程序检查剩余的镜像。另外,红帽生态系统目录中还提供了 经过认证的漏洞扫描程序。
Sysdig 等工具可以提供对容器化应用程序的持续监控。