Сделать сборки Maven осведомленными о безопасности: проверки AppSec без отклонения CI/CD

Автор определяет "дрейф сборки безопасности" как проблему, где конфигурации безопасности становятся несоответствующими в проектах Maven, напоминая автоматизацию, но лишенную.uniformности. Они создали "secure-maven-extension", чтобы интегрировать рабочие процессы безопасности в жизненный цикл Maven, вместо того, чтобы полагаться на разрозненные скрипты конвейера. Это основное расширение, загружаемое через `.mvn/extensions.xml`, внедряет соглашения безопасности на этапе afterProjectsRead, обеспечивая последовательные конфигурации для инструментов, таких как JaCoCo, SonarQube, Dependency-Check и CycloneDX. Расширение поддерживает различные источники конфигурации, отдаёт приоритет последовательности над принуждением к единому стилю, и гарантирует, что одно и то же поведение безопасности применяется локально и в CI/CD. Оно автоматизирует задачи, такие как конфигурация покрытия и настройка метаданных SonarQube, что предотвращает сборку, осведомлённую о безопасности, и конвейер, который только вызывает сканеры вокруг неё. Для многомодульных проектов расширение обрабатывает генерацию SBOM и анализ зависимостей, выравнивая их с формой приложения. Этот подход упрощает конвейеры CI/CD, делая их в основном слоями выполнения, в то время как сама сборка Maven обеспечивает соблюдение практик безопасности. Хуки до коммита и инструменты, такие как Gitleaks, используются для обнаружения утечек до коммита. Эта многослойная модель отдаёт приоритет безопасности во время процесса сборки, повышая надёжность и последовательность практик безопасности приложений.