- Published on
Quy trình CI/CD Security chi tiết (DevSecOps Pipeline)
- Authors
- Name
- Bạch Đăng Tuấn
- Occupation
- Kỹ sư công nghệ thông tin
- Zalo: 0934.01.07.04
🛡️ Quy trình CI/CD Security chi tiết theo DevSecOps
CI/CD Security (hay DevSecOps pipeline) là quá trình tích hợp kiểm tra bảo mật tự động vào chuỗi phát triển và triển khai phần mềm.
Mục tiêu:
- Phát hiện sớm lỗ hổng
- Bảo vệ supply chain
- Kiểm soát triển khai an toàn
📑 Mục Lục
- Tổng quan mô hình CI/CD Security
- Các bước chi tiết trong pipeline
- Công cụ phổ biến tương ứng từng bước
- Tài nguyên học tập
📦 Mô hình CI/CD Security tổng thể
[Developer]
↓ (Code + Push Git) - Pre-check commit systax
[CI Pipeline - Build & Test]
↓
🔍 SAST (Static App Security Test)
↓
📦 Build Docker Image
↓
🔍 Scan Dependencies + Image
↓
🔐 Sign Image (Cosign)
↓
[CD Pipeline]
↓
🔍 Verify Signature
↓
✅ DAST (Dynamic App Security Test)
↓
📜 Policy Check (Kyverno / OPA)
↓
🚀 Deploy ra môi trường thật
🧩 Các bước chi tiết trong DevSecOps Pipeline
1. 🧑💻 Viết mã & Commit
- Push code lên GitHub / GitLab
- Pre-check commit syntax
- Trigger pipeline
2. ✅ Kiểm tra SAST (Static Analysis)
- Phân tích mã nguồn để phát hiện lỗi bảo mật
- Công cụ: Semgrep, SonarQube
3. 🧪 Unit test / Build
- Kiểm tra logic ứng dụng
- Build image container
4. 🔍 Dependency Scanning
- Kiểm tra thư viện bên ngoài có lỗ hổng không
- Công cụ: Trivy, Snyk, Grype
5. 🐳 Scan Docker Image
- Quét toàn bộ image vừa build
- Tìm CVE trong base OS, app
6. 🔐 Ký Docker Image
- Dùng Cosign để ký image
- Ghi lại ai build và khi nào
7. 🚦 Xác minh chữ ký (Verify Signature)
- Đảm bảo image là hợp lệ, không giả mạo
- Chặn nếu sai chữ ký
8. ⚙️ DAST (Dynamic App Security Testing)
- Kiểm thử ứng dụng khi đang chạy (runtime)
- Dùng OWASP ZAP, Burp Suite CLI
9. 📜 Policy Validation
- Kiểm tra xem manifest có tuân thủ chuẩn bảo mật không
- Dùng Kyverno, OPA Gatekeeper
10. 🚀 Triển khai
- Deploy ứng dụng nếu tất cả kiểm tra đạt
🧰 Công cụ phổ biến theo từng bước
| Bước | Công cụ gợi ý |
|---|---|
| SAST | Semgrep, SonarQube |
| Dependency Scan | Snyk, Trivy |
| Image Scan | Trivy, Grype |
| Ký image | Cosign, Notary |
| Xác minh chữ ký | Cosign verify, Kyverno |
| DAST | OWASP ZAP, Burp CLI |
| Policy | Kyverno, OPA |
| Runtime Security | Falco, AppArmor |
📚 Tài nguyên học tập
- OWASP DevSecOps: https://owasp.org/www-project-devsecops
- GitHub: https://github.com/devsecops/awesome-devsecops
- Cosign: https://docs.sigstore.dev
- Kyverno: https://kyverno.io
- Semgrep: https://semgrep.dev
- Trivy: https://aquasecurity.github.io/trivy
✅ Tóm lại:
DevSecOps không chỉ là bảo mật cuối pipeline, mà là gắn bảo mật vào mọi giai đoạn — từ lúc viết mã đến triển khai cuối cùng.