Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

В сфере искусственного интеллекта произошло заметное событие. NicholasKuzya 37 минут назад Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD Простой 8 мин 1. 2K DevOps * Java * Информационная безопасность * Git * Туториал Практический разбор Maven core extension, который встраивает Java security checks в Maven lifecycle, а не заставляет копировать scanner-конфигурацию по pipeline-файлам. ВступлениеПроблема никогда не была в том, что Maven-проекты не умеют запускать security-инструменты.

Можно в pipeline вызвать tests, Dependency-Check, CycloneDX и SonarQube. Можно прописать plugin blocks в pom. Можно скопировать рабочую конфигурацию из одного сервиса в другой и назвать это стандартом.

Технические детали

Какое-то время это даже работает. Потом начинаются маленькие отличия. В одном сервисе есть JaCoCo, но XML coverage не передается в SonarQube.

В другом Dependency-Check делает только HTML. В multi-module проекте SBOM генерируется от root aggregator, который сам не является runtime-приложением. В третьем pipeline забыли merge request metadata, поэтому SonarQube analysis технически прошел, но практически получился неполным.

Это и есть security build drift. Выглядит как автоматизация. Работает как несогласованность.

Отраслевые последствия

Я сделал secure-maven-extension, чтобы закрыть именно эту проблему для Maven-проектов. А заставить Maven lifecycle нести security workflow. Проект: Secure Build Maven ExtensionКак обычно начинается Maven DevSecOpsТипичный pipeline выглядит примерно так:script: - .

owasp:dependency-check-maven:check - . cyclonedx:cyclonedx-maven-plugin:makeBom - . /mvnw sonar:sonar Для одного репозитория это нормально.

На масштабе это превращается в maintenance pattern, которым никто до конца не владеет. Часть настроек живет в CI/CD. Часть в документации.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.