DevOps 需要考虑几点安全问题
- 隔离安全,构建过程中会将源代码下载的构建服务器,在 Pipeline 中运行脚本,即可拿到其他项目的源码,配置文件。
- 环境变量安全,Pipeline 常常会用到环境变量,通常在 Pipeline 中查看所有环境变量,就可以看到其他项目的定义。
- 日志安全,运行单元测试,应用产生的日志,也可能泄漏敏感数据。
对于单一用户,这些问题没有那么严重,但是对于多用户系统或基于 SaaS 的 DevOps 的平台来说这就是大问题。
否则会出现 A 用户可以访问 B 用户资源的问题。甚至做出一些恶意操作,下载源码,植入木马等等
