本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 以幹線為基礎的方法的安全優勢 全 CI/CD 程序提供全自動化的單一事實來源部署方法。管道具有單一進入點。軟體更新會在一開始進入管道,並依原狀從一個環境傳遞到下一個環境。如果在管道的任何階段發現問題,修正問題的程式碼會變更,必須經過相同的程序,並從第一個階段開始。減少管道中的進入點也會減少漏洞可能引入管道的方式。 此外,由於進入點是生產環境最接近的可能點,因此可大幅降低漏洞進入生產環境的可能性。如果您在完全 CI/CD 管道中實作手動核准程序,您仍然可以允許對是否將變更提升到下一個環境進行直接或直接決策。決策者不一定是部署變更的同一個人。這會區隔程式碼變更部署者的責任,以及這些變更的核准者。它也讓較不技術性的組織領導者更能夠執行核准者的角色。 最後,單一進入點可協助您將對生產環境使用者介面 (UI) 主控台的寫入存取權限制為少數甚至零位使用者。透過減少可在 主控台中進行手動變更的使用者數量,您可以降低安全事件的風險。在舊版工作流程中,與 CI/CD 自動化方法相比,在生產環境中手動管理主控台的能力更為必要。這些手動變更較難以追蹤、檢閱和測試。通常會執行它們來節省時間,但從長遠來看,他們會為專案增加大量的技術負債。 主控台安全問題不一定是由不法份子造成。主控台中發生的許多問題都是意外的。意外安全暴露非常常見,並導致零信任安全模型的增加。此模型儲存庫部分而言,當即使內部員工具有盡可能少的存取權,也稱為*最低權限許可*時,安全意外不太可能發生。將所有程序限制為自動化管道,以保持生產環境的完整性,實際上可消除主控台相關安全問題的風險。