CI/CD Pipeline

CI/CD 管道是一个自动化流程，用于将代码从开发者的电脑安全地传送到用户手中。它构建代码、测试代码，并在不依赖手动步骤的情况下进行部署。

你可以把它想象成一个软件装配线。与其让人们交接代码并希望一切顺利，不如让管道在每次自动检查一切。

TL;DR

• 是什么： 一个用于发布新版本软件的自动化流程。
• 问题： 手动发布速度慢、容易出错，且常常跳过安全检查。
• 解决方案： CI/CD 自动化构建、测试和部署过程，使团队能够更快、更自信地发布。
• 为什么安全关注： 它让团队能够在早期发现安全漏洞，而不是在生产前。

什么是 CI/CD 管道？

CI/CD 管道是代码从编写到被真实客户使用的路径。

它有两个主要部分：

1. 持续集成 (CI)

开发人员经常推送代码更改。每次他们这样做时，管道会自动构建应用并运行测试，以确保新代码不会破坏任何东西。

2. 持续交付/部署 (CD)

一旦代码通过这些检查，它就准备好发布，或者直接部署到生产环境。

• 交付： 代码已准备好，但需要有人点击“批准”。
• 部署： 代码自动上线。

“左移”安全在其中的位置

这就是安全性更早地融入流程的地方。与其在应用上线后发现问题，不如在代码仍在编写时就在流水线中运行安全检查。

这意味着像硬编码的秘密或有风险的库等问题可以在早期被发现，此时修复它们更便宜且更容易。

CI/CD 流水线如何工作（逐步说明）

大多数流水线遵循相同的流程：

1. 源代码： 开发人员将代码推送到 GitHub 或 GitLab。
2. 构建： 应用程序被构建，依赖项被安装。
3. 测试： 运行自动化测试，包括安全检查。
4. 暂存： 应用程序部署到一个类似生产环境的测试环境中。
5. 生产： 应用程序发布给真实用户。

如果在任何步骤中出现问题，流水线将停止。

相关术语

• DevSecOps
• 左移安全
• SAST 与 DAST
• 漏洞预测评分系统 (EPSS)

常见问题

持续交付和持续部署有什么区别？

• 持续交付： 一切都是自动化的，但最终发布需要人工批准。
• 持续部署： 无需人工批准。如果测试通过，代码会自动上线。

为什么 CI/CD 对于 DevSecOps 很重要？

因为它将安全性变成了一种常规检查，而不是最后一刻的阻碍。安全工具会在每次更改时自动运行，因此问题可以及早发现并更快修复。

常见的 CI/CD 工具有哪些？

一些流行的工具包括 Jenkins、GitHub Actions、GitLab CI/CD、CircleCI 和 Azure DevOps。它们负责运行构建、测试和部署代码的脚本。

CI/CD 管道会失败吗？

会的，这实际上是件好事。如果测试失败或发现安全问题，管道会停止。这可以防止损坏或不安全的代码到达用户手中。

CI/CD 如何提高代码质量？

因为每次更改都会立即进行测试。错误在引入后的几分钟内就被捕获，而不是几周后。这保持了主代码库的稳定性，并减少了修复问题所需的时间。