CircleCI为主流CI/CD管道发布新的安全集成ORB

CircleCI发布新的ORB（对象请求代理），用于增加CI/CD管道的安全性。该版本新增的ORB包括漏洞扫描、秘钥管理、许可扫描和数字扫描，可以与AWS和谷歌云集成。

ORB是一种可共享的组件，它将命令、执行器和作业组合成单个可重用块。之前，CircleCI为通用的Kubernetes工作流发布了一些ORB。

最新版本增加了新的ORB，涵盖了CI/CD管道的三个主要安全实践，它们是:

1. 安全的管道配置；
2. 代码和Git历史分析；
3. 安全策略实施。

为了确保管道配置是安全的，CircleCI允许在多个位置存储管道秘钥。CircleCI产品经理Alexey Klochay解释说：

在CircleCI上，你可以选择使用静态加密的环境变量，或者使用上下文。上下文可用于跨项目访问环境变量。它们的使用权限也可以被限制到特定安全组成员，安全组由组织管理员负责定义。另一种选择是使用第三方解决方案，动态地从安全存储中获取秘钥。

为了支持第三方解决方案方法，添加了新的ORB，以便与AWS Parameter Store、CryptoMove和Fortanix集成。为了能够在GCP中对容器镜像进行签名和认证，还与GCP Binary Authorization进行了集成。

要想知道Git存储库是否包含了敏感信息，Klochay建议使用Trufflehog或GitLeaks。这两种工具都可用于扫描代码库，查找之前的代码提交中是否包含秘钥。

CircleCI已经发布了一些与漏洞发现相关的ORB。这些附加功能涵盖了静态应用程序安全性测试（SAST）和动态应用程序安全性测试（DAST）技术。SAST工具会检查应用程序代码库，分析代码和漏洞的依赖关系。DAST技术将在应用程序或容器的活动实例上执行类似的扫描，这样可以捕获在运行时加载的依赖项。CircleCI在这个版本中提供了一些漏洞扫描ORB，包括Alcide.io、NeuVector、Snyk、WhiteSource、和Probely。

为了解决与业务相关的漏洞和合规性问题，CircleCI提供了有助于实施安全策略的ORB，可以对在每个构建中进行评估的业务实践进行编码化。Aqua Security、NowSecure和Twistlock是新增的一些ORB附加组件，为策略实施提供支持。

CircleCI安全工程师Tad Whitaker说：

将这些DevSecOps ORB插入到开发人员的CI/CD管道中，可以确保上游的安全性，从而为下游提供更多的保护。在CI中进行安全测试，并使其自动化，让它成为用户的习惯。

2019年DevOps报告也提到了这个观点，报告发现，“将安全性深入集成到软件交付生命周期中，这让团队对安全性的信心增加了两倍多”。

CircleCI副总裁Michael Stahnke在与InfoQ的一次访谈中进一步阐述了这一点，他说，当协作和集成程度越高，安全性就越好。但是，Stahnke解释说，增强安全性需要更多的时间和金钱投入，但不一定会得到与处理其他非功能性需求相同的结果。Stahnke表示，帮助企业摆脱这个困境是这一系列ORB的目标之一。

CircleCI提供了有关如何使用和发布ORB的文档。用户可以在ORB注册表中查看当前的ORB清单。目前可以在云提供商的免费和付费产品中使用ORB。更多有关新加入的合作伙伴和ORB的信息，请查看CircleCI的官方公告。

原文链接：

CircleCI Adds Security Integrations to Streamline Securing CI/CD Pipelines