Как разработчик вы создаёте новые функции, исправляете ошибки и доставляете код. Это то, что содержалось в первоначальном описании работы. Разработчики программного обеспечения сегодня несут дополнительные обязанности, такие как экспертиза в развёртывании или защите программного обеспечения. Вы могли бы привести убедительные доводы в пользу того, что безопасность касается только производственной среды. Пока вы работаете над своими функциями, безопасность не является существенной (пока). Но что, если в продакшене возникнут проблемы с безопасностью? Эти типы заявок возвращаются к инженерам и прерывают всё, что вы делаете. Хотя такие ситуации могут возникать в любое время, вы можете активно участвовать в их предотвращении в первую очередь — результат: меньше заявок с высоким приоритетом и прерываний.
В этой статье давайте рассмотрим инструменты, которые вы можете использовать для упреждающего реагирования на инциденты безопасности.
О каких проблемах безопасности мы говорим?
За последние несколько лет такие компании, как GitHub, вложили значительные средства в повышение безопасности программного обеспечения. Dependabot автоматически сканирует ваши списки зависимостей (например, package.json) и отправляет pull requests, если вы используете уязвимую версию библиотеки. Поскольку это такой простой рабочий процесс, разработчики могут быстро исправлять уязвимые пакеты в рамках своего обычного рабочего процесса.
В статье мы хотим пролить свет на ещё один аспект безопасности программного обеспечения: работу в производственной среде. Если вы создаёте образы Docker, как часть рабочего процесса CI/CD, эта статья для вас. Независимо от того, какую конкретную стратегию сборки вы используете для своих образов, вы, вероятно, устанавливаете дополнительные пакеты, чтобы гарантировать, что ваш код работает без проблем.
Продолжение следует...
Перевод с некоторыми авторскими заголовками.
Автор оригинала: Jan Schulte.