在快节奏的软件开发世界中,持续集成和持续部署 (CI/CD) 已成为基石,有助于团队以前所未有的速度交付高质量的软件。然而,随着快速创新的兴起、第三方库使用的增加以及 AI 生成式代码的出现,发生漏洞的可能性增加,遇到风险的几率提高。因此,团队需要在开发生命周期的早期解决这些问题,这点至关重要,因为只有这样,他们才能快速、自信地推出产品。
为解决这些问题,我们推出了 Checks 隐私合规 CI/CD 工具,这是一项重大进展。该工具可以减少人工干预,能够在发布周期中自动执行合规和隐私标准。
在这篇博文中,我们将向不熟悉 CI/CD 的合规团队成员介绍该技术的含义,并说明 Checks 如何将隐私和合规保护实践集成到 CI/CD 流水线中。
持续集成 (CI) 和持续部署 (CD) 是现代软件开发的基础实践,有助于开发团队提升效率、提高质量并加快交付速度。
持续集成 (CI) 将来自多个贡献者的代码更改自动集成到软件项目中。通过这种做法,团队能够在将每项更改合并到主分支之前,对更改执行自动测试,从而尽早发现问题。
持续部署 (CD) 进一步提升自动化水平,可在构建阶段后自动将所有代码更改部署到测试或生产环境。这意味着,除了自动化测试之外,自动化发布流程还可以确保用户尽快访问新的更改。
CI/CD 流程的自动化通常被称为“流水线”。CI/CD 流水线自动执行从开发到部署的完整软件更改步骤。这些步骤包括编译代码、运行测试(单元测试、集成测试等)、安全扫描等。如果软件更改通过所有自动化测试,则将在特定环境中(如测试环境或生产环境)生效,无需人工干预。
这些流水线旨在尽早发现问题,体现了被称为“左移”的做法。“左移”的好处——尤其是在 CI/CD 流水线中应用时——包括:
Checks CI/CD 工具通过 GitHub、Jenkins 和 FastLane的插件,将应用合规扫描功能无缝集成到 CI/CD 流水线中。您还可以在支持自定义脚本的任何其他 CI/CD 系统中使用 Checks,例如 GitLab、TeamCity、Bitbucket 等。
在扫描应用时,Checks 会执行动态和静态分析,以了解您收集和分享数据的做法。分析对象包括应用依赖项,例如 SDK、权限和端点。然后,Checks 将根据全球监管要求、商店政策、您自定义的 Checks 政策以及您的隐私政策,对这些数据进行测试,检测是否存在潜在的问题,探索改进机会。
如果您将 Checks 添加为 CI/CD 流水线中的一个步骤,在开发生命周期中系统会自动扫描应用和代码是否合规。
将 Checks 集成到 CI/CD 中的 5 大好处如下:
1. 实时、智能警报:您可以通过电子邮件或 Slack 即时收到通知,随时了解产品组合出现的新合规问题或数据行为发生的变化。
2. 了解数据共享行为和 SDK:通过 Checks,您可以了解 SDK 集成、权限和数据流分析的情况,所以该工具有助于确保第三方数据共享的安全。如果使用 Checks,您可以在公开发布之前对第三方依赖项充满信心。
3. 确保新版本符合公司政策:通过 Checks,您可以使用自定义策略来实现数据治理自动化,针对特定端点、SDK、数据类型和权限设置保护措施,从而根据特定需求定制隐私设置。这些政策有助于确保所有新的发布版本都符合您公司的数据政策。
4. 及时更新 Google Play“数据安全”部分:Checks 可以推荐 Google Play“数据安全”部分的披露信息,并且如果您应该在公开发布前执行更新,Checks 会提醒您,以确保您的声明始终保持最新状态。
5. 快速、放心地部署:如果 Checks 在 CI/CD 中发现问题,您可以及早发现并修复这些漏洞,从而大大降低部署应用后发生不合规问题的风险。借助 Checks,您可以在不延长发布周期的情况下保持较高的合规性标准,确保用户数据从一开始就得到有效保护,团队也能够放心部署应用。
如要开始使用 Checks,步骤很简单。首先注册 Checks,然后采取这些简单的配置步骤,将 Checks 添加到您的 CI/CD 流水线中。在您完成配置后,Checks 即可执行各种隐私和合规验证。
Checks 可以主动检测隐私和合规问题,有助于防范潜在风险以及符合法规遵从要求,所以能够为任何合规和开发团队带来巨大帮助。