10-4 · Глава 10 · 4 мин. чтения

Когда ваш пайплайн безопасности блокирует всё: обработка исключений без создания лазеек

Как обрабатывать исключения в CI/CD пайплайне безопасности, не создавая лазеек. Четыре правила для управления исключениями: запись, утверждение, истечение срока и автоматический сбой.

Когда ваш пайплайн безопасности блокирует всё: обработка исключений без создания лазеек

У вас есть сканер безопасности, запускающийся в CI-пайплайне. Он находит уязвимость в библиотеке, от которой зависит ваша команда. Степень серьезности — средняя, но исправленной версии пока нет. Пайплайн падает. Команда не может выполнить деплой.

Теперь у вас есть выбор. Можно отключить сканирование полностью, понизить порог, пока всё не начнет проходить, или начать игнорировать результаты пайплайна. Ни один из этих вариантов не является хорошим. Но если сделать слишком легким обход отдельных находок, пайплайн перестает быть полезной страховочной сетью.

Это проблема исключений. Любая команда, внедряющая правила безопасности или соответствия в пайплайн, рано или поздно с ней сталкивается. Решение — не убирать шлюз. Решение — построить понятный и подотчетный механизм обработки исключений.

Почему существуют исключения

Исключения — это не признак сломанного процесса. Это признак того, что реальный мир не всегда соответствует вашим правилам. У библиотеки есть известная уязвимость, но мейнтейнер еще не выпустил исправление. Правило соответствия запрещает определенную конфигурацию, но ваша инфраструктура пока не может поддерживать альтернативу. Находка безопасности технически валидна, но риск приемлем в вашем конкретном контексте.

Если в вашем пайплайне нет способа обрабатывать такие ситуации, ваша команда найдет способ их обойти. Они отключат сканирование. Они ослабят порог. Они начнут относиться к красным пайплайнам как к норме. Пайплайн станет формальностью, а пробелы в безопасности останутся.

Цель — сохранить пайплайн строгим, но дать командам легитимный путь вперед, когда они сталкиваются с реальным блокером.

Четыре правила обработки исключений

Хороший механизм исключений обладает четырьмя свойствами. Каждое предотвращает конкретный сценарий отказа, с которым часто сталкиваются команды.

Следующая блок-схема иллюстрирует полный жизненный цикл исключения, описываемый четырьмя правилами:

flowchart TD A[Находка блокирует пайплайн] --> B[Записать исключение: Кто, Что, Почему] B --> C[Отправить на утверждение] C --> D{Утверждено?} D -- Нет --> E[Пайплайн остается заблокирован] D -- Да --> F[Установить дату истечения] F --> G[Исключение активно Пайплайн проходит] G --> H{Истекло?} H -- Нет --> G H -- Да --> I[Пайплайн падает Исключение истекло] I --> J[Проверить и исправить] J --> K{Блокер устранен?} K -- Да --> L[Удалить исключение] K -- Нет --> B

1. Исключения должны быть записаны

Первое правило — самое простое: задокументируйте. Исключение — это не комментарий в пул-реквесте и не сообщение в чате. Оно должно находиться в месте, доступном всем. Команда безопасности, команда соответствия и команда, запускающая пайплайн, должны иметь доступ к одной и той же записи.

Где вы его храните, менее важно, чем сам факт хранения. Подойдет файл конфигурации в репозитории. Подойдет запись в вашем трекере задач. Важно, чтобы запись содержала три вещи: кто отправил исключение, что исключается и почему.

2. Исключения должны быть утверждены

Один человек не должен решать обходить шлюз безопасности. Разработчик, обнаруживший блокер, может отправить исключение, но утверждение должно прийти от того, кто понимает риск. Инженер по безопасности утверждает исключения, связанные с безопасностью. Сотрудник отдела соответствия утверждает нарушения политик. Само утверждение может происходить через отдельный пул-реквест или через шаг утверждения в пайплайне.

Этот шаг предотвращает наиболее распространенное злоупотребление исключениями: когда разработчик помечает свою собственную находку как приемлемую без проверки обоснования кем-либо еще.

3. Исключения должны иметь срок действия

Это правило, которое большинство команд забывает. Исключение создается, потому что что-то временно заблокировано. Через шесть месяцев у библиотеки может появиться патч. Ограничение инфраструктуры может быть устранено. Но исключение все еще действует, молча пропуская ту же уязвимость через каждый деплой.

Каждое исключение нуждается в ограничении по времени. Для критической уязвимости может быть достаточно недели. Для находки низкой серьезности разумны месяц или три месяца. Продолжительность зависит от типа находки и контекста, но она должна быть.

4. Истекшие исключения должны вызывать сбой пайплайна

Истечение срока бесполезно, если его никто не контролирует. Когда срок исключения истекает, пайплайн должен автоматически падать на соответствующем шлюзе. Команде не нужно помнить о проверке. Сам пайплайн становится напоминанием. Если блокер все еще существует, команда отправляет новое исключение с обновленным обоснованием. Если блокер устранен, исключение удаляется, и пайплайн снова проходит.

Это создает естественный цикл пересмотра. Каждое исключение пересматривается как минимум один раз, прежде чем оно сможет продолжить действовать.

Аналогия с техническим долгом

Этот паттерн не нов. Это тот же способ, которым хорошие команды управляют техническим долгом. Вы не делаете вид, что долга не существует. Вы его записываете, приоритизируете и планируете время для его погашения. Исключения безопасности работают так же. Вы не игнорируете уязвимость. Вы признаете ее, документируете решение и устанавливаете срок для ее устранения.

Разница в том, что технический долг часто невидим, пока не вызывает проблем. Исключение безопасности видно с момента его создания. Пайплайн его логирует. Утверждение его записывает. Дата истечения делает его невозможным забыть.

Практический чек-лист

Если вы настраиваете механизм исключений для своего пайплайна, вот краткий чек-лист для начала:

Выберите место хранения исключений, доступное командам безопасности, соответствия и разработки
Определите, кто может утверждать каждый тип исключений (находки безопасности, нарушения соответствия, ограничения инфраструктуры)
Установите продолжительность действия по умолчанию для разных уровней серьезности
Настройте пайплайн на автоматическую проверку дат истечения и сбой при истечении исключения
Протестируйте поток: отправьте исключение, утвердите его, дайте ему истечь и подтвердите поведение пайплайна

Что дальше

Хороший механизм исключений сохраняет ваш пайплайн строгим, но не жестким. Команды могут двигаться вперед, когда сталкиваются с реальным блокером, но не могут обойти шлюз, не оставив следа. Пайплайн остается полезным ограждением, а не формальностью.

Как только этот механизм заработает, следующий шаг — закодировать все ваши правила как код. Политики, записанные в документах или озвученные на встречах, трудно последовательно применять. Правила, написанные как код, можно тестировать, проверять и выполнять автоматически. Именно здесь шлюзы безопасности и соответствия становятся по-настоящему надежными.