# SEC11-BP07 Nilai karakteristik keamanan pipeline secara teratur
Terapkan prinsip Pilar Keamanan Well-Architected pada pipeline Anda, dengan perhatian khusus pada pemisahan izin. Nilai karakteristik keamanan infrastruktur pipeline Anda secara teratur. Mengelola keamanan **pipeline secara efektif akan memungkinkan Anda memberikan keamanan perangkat lunak yang lolos *melalui* pipeline.
**Hasil yang diinginkan: **Pipeline yang digunakan untuk membangun dan men-deploy perangkat lunak Anda harus mengikuti rekomendasi praktik yang sama seperti beban kerja lainnya di lingkungan Anda. Pengujian yang diimplementasikan di pipeline seharusnya tidak dapat diedit oleh builder yang menggunakannya. Pipeline seharusnya hanya memiliki izin yang diperlukan untuk deployment yang dilakukannya dan harus mengimplementasikan perlindungan untuk menghindari deployment ke lingkungan yang salah. Pipeline tidak boleh bergantung pada kredensial jangka panjang, dan harus dikonfigurasikan untuk memberikan status sehingga integritas lingkungan build dapat divalidasi.
**Antipola umum:**
+ Pengujian keamanan yang dapat dilewati oleh builder.
+ Izin yang terlalu luas untuk pipeline deployment.
+ Pipeline tidak dikonfigurasikan untuk memvalidasi input.
+ Tidak rutin meninjau izin yang terkait dengan infrastruktur CI/CD Anda.
+ Penggunaan kredensial jangka panjang atau yang diberi hardcode.
**Manfaat menjalankan praktik terbaik ini:**
+ Kredibilitas lebih tinggi pada integritas perangkat lunak yang dibangun dan di-deploy melalui pipeline.
+ Kemampuan untuk menghentikan deployment saat ada aktivitas yang mencurigakan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Memulai dengan layanan CI/CD terkelola yang mendukung peran IAM menurunkan risiko kebocoran kredensial. Menerapkan prinsip Pilar Keamanan ke infrastruktur pipeline CI/CD Anda dapat membantu Anda menentukan titik mana yang dapat ditingkatkan keamanannya. Mengikuti [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) adalah titik awal yang baik untuk membangun lingkungan CI/CD Anda. Meninjau secara rutin implementasi pipeline dan menganalisis log untuk menemukan perilaku tidak terduga dapat membantu Anda memahami pola penggunaan pipeline yang digunakan untuk men-deploy perangkat lunak.
### Langkah implementasi
+ Mulai dengan [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/).
+ Pertimbangkan untuk menggunakan [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) agar dapat secara terprogram membuat kebijakan IAM hak akses paling rendah untuk pipeline.
+ Integrasikan pipeline Anda dengan pemantauan dan peringatan sehingga Anda mendapatkan notifikasi aktivitas tidak terduga atau tidak normal, untuk layanan terkelola AWS, [Amazon EventBridge](https://aws.amazon.com/eventbridge/) memungkinkan Anda merutekan data ke target seperti [AWS Lambda](https://aws.amazon.com/lambda/) atau [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS).
## Sumber daya
**Dokumen terkait:**
+ [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)
+ [Pemantauan AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/monitoring.html)
+ [Praktik terbaik keamanan untuk AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/security-best-practices.html)
**Contoh terkait:**
+ [Dasbor pemantauan DevOps](https://github.com/aws-solutions/aws-devops-monitoring-dashboard) (GitHub)