Posouzení zdrojových kódů, DevOps a CI/CD – Ing. Jiří Berger, MBA

Ověřování kompletnosti zdrojových kódů a konfigurací informačních systémů je důležité jak z hlediska bezpečnosti, tak auditovatelnosti, provozuschopnosti a obnovitelnosti systému.

Přehled osvědčených postupů, které se běžně používají obsahují např. ISO 27001, NIS2, ITIL, DevSecOps apod.

Cílem je ověření (ne vždy je nutné a vhodné dělat vše) zejména:
• Kompletnost předávaných artefaktů (aplikace, služby, skripty, infrastruktura)
• Kontrola verzování v úložišti (Git, GitLab, GitHub, Bitbucket)
• Automatizované kontroly v CI/CD (reprodukovatelné nastavení, kontrola chybějících souborů)
• Porovnání aplikace s produkčním prostředím (co běží v produkci vs. co je v repozitáři)
• Kontrola závislostí a externích komponent (není používán nezdokumentovaný externí kód, externí komponenty jsou podporované a neobsahují škodlivý kód apod.)
• Auditní a formální ověření
• Posouzení licencování, vhodnosti, dodržení pravidel
• Kontrola záloh a obnovitelností
• Bezpečnostní dohled nad komponentami (zranitelnosti, použité technologie apod.)