CI/CD
Sentinel’i CI/CD içinde kullanırken amaç yalnızca rapor üretmek değil, riskli model ve istem değişikliklerini yayından önce yakalamaktır.
Kısa tanım
Sentinel CI/CD yayın kapısı; model, istem, bağımlılık, MCP ve gizli bilgi değişikliklerinde tekrarlanabilir tarama çıktısı üretir ve CRITICAL/HIGH bulguları yayından önce durdurur.
Strateji
- Pull request içinde hızlı SAST ve gizli bilgi taraması çalıştırın.
- Model dosyası taramasını model veya bağımlılık değiştiğinde tetikleyin.
- CRITICAL/HIGH bulguları yayın kapısı olarak kullanın.
GitHub Actions
name: sentinel
on: [pull_request]
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-python@v5
with:
python-version: "3.11"
- run: pip install -e ".[dev]"
- run: sentinel scan . -f sarif -o sentinel.sarifGitHub code scanning çıktısı
ruleId: MANIFEST-OVERBROAD-TOOLS
level: error
message: Agent tool permissions allow broad file write
artifact: sentinel.sarif
release_decision: block until tool scope is narrowedYayın kapısı
İlk sürümde basit kural yeterlidir: CRITICAL/HIGH bulgu varsa yayın durur, MEDIUM bulgu iş kaydı açar, LOW/INFO bulgu raporda kalır.
policy.yml
fail_on:
- CRITICAL
- HIGH
ticket_on:
- MEDIUM
report_only:
- LOW
- INFOTarama sıklığı
| Tetikleyici | Ne çalışır? | Neden |
|---|---|---|
| Pull request | SAST, gizli bilgi, manifest | Kod değişikliğini hızlı yakalar. |
| Model değişikliği | model dosyası, arşiv, AIBOM | Yeni model dosyasını yayından önce doğrular. |
| Gece taraması | tam tarama, CVE, tedarik zinciri | Yeni CVE ve bağımlılık değişikliklerini yakalar. |
Ekip aktarımı
Operasyonel kontrol listesi
- Her bulgu için sorumlu, etkilenen dosya, öncelik ve düzeltme ipucu iş kaydına girsin.
- Güvenlik ekibi kural kimliğini ve istismar etkisini yazar; mühendislik ekibi düzeltme PR’ını bağlar.
- Kapanış için aynı Sentinel komutu ve temiz çıktı bağlantısı iş kaydına eklenir.