DEV Community

Cover image for Desenho de implementação de pipeline
Ivo Dias for M3Corp

Posted on • Edited on

Desenho de implementação de pipeline

Qual é a melhor estratégia para implementar as soluções Veracode em um Pipeline?

Acredito que como qualquer resposta dentro de TI, a resposta é um grande "depende". Mas nesse artigo vou compartilhar o design que normalmente proponho e que utilizo nos meus projetos.

Inicialmente, vamos pensar no fluxo:

  • Início
  • Processo de build
  • Empacotamento conforme o guia
  • Análise do código
  • Resultado da análise
  • Encerramento (com a quebra do pipeline ou não)

Para que esse processo de certo, é muito importante que o empacotamento seja feito da forma correta, por isso a recomendação de SEMPRE se atentar a esse processo.

Na etapa da análise, é que começamos a fazer nossas escolhas.
Aqui vamos pensar apenas nesse processo dentro de um pipeline e não exatamente no conceito de "shift left".

A organização mais interessante, quando pensamos em performance é a combinação entre o Pipeline Scan e o Uploud and Scan (seja por Wrapper ou Plug-In). Com ela, conseguimos ter todas as vantagens do uso do U&S e com a velocidade do Pipeline Scan.

Basicamente, o desenho que fazemos nesse caso é configurar o U&S para fazer apenas a etapa de Uploud e não aguardar, colocando em sequência a análise via Pipeline Scan e utilizar essa como definidor da estratégia de quebra. Mas qual o sentido disso?

Por questões de design, o Pipeline Scan abre mão de algumas coisas para ter uma velocidade maior, por mais que a capacidade de análise seja a mesma. Então ao utilizarmos esse combo, vamos ter toda a capacidade do U&S, como criar Dashboards e integrações com BugTrackings, enquanto ganhamos velocidade e temos um retorno no terminal, com a análise completa.

Top comments (0)