Лучшие практики по исправлению серверов сборки
У нас есть набор серверов Linux, которые наши разработчики используют для компиляции программного обеспечения для наших продуктов, которые мы продаем. В настоящее время мы находимся в противостоянии с нашими специалистами по сетевой безопасности, заявляющими, что серверы должны быть исправлены, и разработчики заявляют, что исправление изменит конечные двоичные файлы, создаваемые сервером сборки.
Я не могу найти в Интернете какую-либо информацию о внесении исправлений в серверы сборки, и мне хотелось бы знать, находится ли кто-либо еще здесь в такой же ситуации и как вы ее решили?
1 ответ
Это сложный вопрос, и на самом деле нет хорошего ответа.
С точки зрения высокого уровня, правильный ответ: "Изолируйте эту систему от внешних источников и отметьте в своем плане безопасности, что этот сервер недоступен ни из чего, кроме определенной подсети с сильными огненными стенами". Скорее всего, это усложняет жизнь разработчиков, но в конечном итоге они должны обеспечить безопасность и их безопасность.
С точки зрения "попыток победить в обоих направлениях", вы можете, в зависимости от методов / желаний ваших групп безопасности и от того, как настроено программное обеспечение для разработки, создать своего рода "дерево каталогов сборки", где у вас есть статическая сборка библиотек, используемая для разработчики, которые построены отдельно от тех, которые использует ОС.
То есть вместо того, чтобы разработчики использовали /usr/lib/* в качестве источника библиотек для своих сборок, создайте каталог /build/lib"и перекомпилируйте статический источник для всех этих элементов....
В конце концов, реальный ответ: Если разработчикам нужна статическая непропатченная система для сборки их программного обеспечения, то кто-то из высокопоставленных лиц должен подписать что-то вроде "да, нам просто придется рискнуть".