Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité
Un mécanisme central d'inspection, de compilation et de génération de rapports du code peut apporter de grands avantages en termes de sécurité et réduire les délais de commercialisation en libérant les développeurs d'applications de la rédaction de cette tâche.
Réfléchissez à la manière dont votre entreprise signale les failles de sécurité et aux résultats de l'inspection du code. Par exemple, les approches suivantes en matière de reporting sont typiques :
-
Arrêt du pipeline
-
Messages électroniques et tableau de bord
Si vous choisissez d'arrêter les fusions et les déploiements en raison des résultats de l'analyse de sécurité, vous devez proposer deux solutions :
-
Un mécanisme clair pour communiquer et résoudre le problème.
-
Une norme de numérisation centrale réactive capable de suivre l'évolution des normes IAC (infrastructure as code).
Imaginez un scénario dans lequel votre analyse de sécurité centrale nécessite par erreur qu'un paramètre de clé de chiffrement soit dans un format spécifique pour la création d'une ressource. (Une chaîne Amazon Resource Name (ARN) est un exemple de ressource.) Cependant, l'équipe chargée de l'application doit créer des dizaines de ces ressources et utiliser une for boucle dans l'IaC pour transmettre l'ARN de la clé. À présent, les exigences de sécurité sont satisfaites, mais l'outil de numérisation ne reflète pas correctement les bonnes pratiques de codage. Cette approche peut entraîner des retards de livraison et frustrer les développeurs.
