Qual é a melhor estratégia para implementar as soluções Veracode em um Pipeline?
Acredito que como qualquer resposta dentro de TI, a resposta é um grande "depende". Mas nesse artigo vou compartilhar o design que normalmente proponho e que utilizo nos meus projetos.
Inicialmente, vamos pensar no fluxo:
- Início
- Processo de build
- Empacotamento conforme o guia
- Análise do código
- Resultado da análise
- Encerramento (com a quebra do pipeline ou não)
Para que esse processo de certo, é muito importante que o empacotamento seja feito da forma correta, por isso a recomendação de SEMPRE se atentar a esse processo.
Na etapa da análise, é que começamos a fazer nossas escolhas.
Aqui vamos pensar apenas nesse processo dentro de um pipeline e não exatamente no conceito de "shift left".
A organização mais interessante, quando pensamos em performance é a combinação entre o Pipeline Scan e o Uploud and Scan (seja por Wrapper ou Plug-In). Com ela, conseguimos ter todas as vantagens do uso do U&S e com a velocidade do Pipeline Scan.
Basicamente, o desenho que fazemos nesse caso é configurar o U&S para fazer apenas a etapa de Uploud e não aguardar, colocando em sequência a análise via Pipeline Scan e utilizar essa como definidor da estratégia de quebra. Mas qual o sentido disso?
Por questões de design, o Pipeline Scan abre mão de algumas coisas para ter uma velocidade maior, por mais que a capacidade de análise seja a mesma. Então ao utilizarmos esse combo, vamos ter toda a capacidade do U&S, como criar Dashboards e integrações com BugTrackings, enquanto ganhamos velocidade e temos um retorno no terminal, com a análise completa.
Top comments (0)