SEC11-BP05 集中化套件和相依性的服務
提供可讓您的團隊取得軟體套件和其他相依性的集中化服務。這樣套件就能先接受驗證,再納入撰寫的軟體,並提供您組織中使用的軟體分析資料來源。
預期結果:除了您撰寫的程式碼之外,也可以從外部軟體套件建置您的工作負載。重複使用的實作功能變得更加簡單,例如 JSON 剖析器或加密程式庫。您可以集中這些套件和相依項的來源,如此一來您的安全團隊就能在使用這些項目前,先進行驗證。使用這個方法再加上手動與自動測試流程,即能提升對於您開發之軟體品質的信心。
常見的反模式:
-
您從網際網路的任意儲存庫中取出套件。
-
您未測試新套件,便將其提供給建置者。
建立此最佳實務的優勢:
-
更清楚了解哪些套件將用於建置中的軟體。
-
可以在了解過實際使用情況而需要更新套件時通知工作負載團隊。
-
降低在軟體中納入有問題套件的風險。
未建立此最佳實務時的風險暴露等級:中
實作指引
提供可讓建置人員輕鬆取得的套件和其他相依性集中化服務。集中化服務可依照邏輯方式進行集中,而非實作成單一龐大的系統。這個方法可讓您用符合建置人員需求的方式提供服務。您應該實作一種能在發生更新或新需求萌生時,快速在儲存庫新增套件的方法。AWS CodeArtifact
實作步驟
實作依照邏輯方式集中,而且各種軟體開發所在環境均可使用的儲存庫服務。
將儲存庫的存取作業納入 AWS 帳戶 銷售程序。
建置自動化測試流程,在將套件發行至儲存庫之前先進行測試。
維護最常使用的套件、語言,以及變更程度最高團隊的規格表。
-
提供可讓建置人員團隊自動要求新套件與提供意見回饋的機制。
-
定期掃描儲存庫中的套件,識別最近所找到問題的潛在影響。
資源
相關的最佳實務:
相關文件:
相關範例:
相關影片:
