AWS上のBitriseのOSセキュリティパッチ
The responsibilities regarding OS security patching on AWS are shared between Bitrise and the customer. The exact responsibilities differ based on the AWS environment: different policies apply to macOS and Linux environments.
AWS では、セキュリティパッチの適用とメンテナンスは 責任分担モデル。Bitriseにとって最も重要な問題は以下の通りです。
-
ホスト AMI アップデート
-
Bitrise VM イメージアップデート (該当する場合)
これらのタスクに関する責任は、Bitriseとお客様の間で分担されます。正確な責任は AWS 環境によって異なります。macOS 環境と Linux 環境には異なるポリシーが適用されます
macOS 仮想化環境
AWS上のBitriseは、当社のVMイメージを含むAMIを提供しています ステーブルスタック macOS 仮想化環境用 (エッジスタックではない)。
定期的なツーリング更新
Bitriseは、ツールの変更に合わせて定期的にVMの更新を行います。ツールの更新により新しい VM イメージが構築されると、ホストインスタンス (AMI) には最新の AWS macOS バージョンが使用されます。VM イメージの OS は変更されません
|
[コンポーネント] |
ビットライズ更新頻度 |
お客様の責任 |
|---|---|---|
|
ホスト OS |
Bitriseは一般的なOSアップデートを行いません。OSセキュリティパッチは、社内の情報セキュリティ評価(トラストセンターで定義されているとおり)で必要な場合にのみ適用されます |
最新の AMI を使用するのはお客様の責任です。 |
|
仮想マシン OS |
Bitriseは一般的なOSアップデートを行いません。OSセキュリティパッチは、社内の情報セキュリティ評価(トラストセンターで定義されているとおり)で必要な場合にのみ適用されます |
最新の AMI を使用するのはお客様の責任です。 |
macOS ベアメタル環境
macOSのベアメタル環境では、AWS上のBitriseがAMIを提供するのは ステーブルスタック のみ (エッジスタックではない)。
|
[コンポーネント] |
ビットライズ更新頻度 |
お客様の責任 |
|---|---|---|
|
ビットライズ AMI |
Bitriseは、新しいホストAMIを構築する際に、AWSの最新のmacOSバージョンをベースとして使用します。弊社では macOS の脆弱性を監視し、社内の情報セキュリティ評価で判断された場合は新しい AMI バージョンを再構築して公開しています |
最新の AMI を使用するのはお客様の責任です。 |
トラストセンター
Bitriseが脆弱性を監視および評価する方法に関する追加情報は、以下に記載されています。 トラストセンター。
リナックス環境
AWS上のBitriseのLinuxインスタンスはベアメタルでのみ動作し、仮想化やDockerは動作しません。必要なツールはすべて Amazon マシンイメージ (AMI) に直接組み込まれています
|
[コンポーネント] |
ビットライズ更新頻度 |
お客様の責任 |
|---|---|---|
|
ビットライズ AMI |
BitriseはLinuxのコアAMIをツール変更 (アンドロイドツールなど) にのみアップデートします。 |
OS セキュリティパッチの適用はお客様の責任となります。 |
パッチシナリオ
セキュリティパッチを適用する方法は、を使用しているかどうかによって異なります Bitrise コントローラー。
コントローラーなしのパッチ
手動設定を使用している場合は、インスタンスにパッチやアップデート全般をより柔軟に適用できます。次のことができます。
-
カスタムAMIの作成:Bitrise AMIを起動し、変更(OSパッチなど)を加え、新しいAMIスナップショットを取り、この新しいカスタムAMIのIDで実行するように環境を設定します。
-
を使う ユーザーデータスクリプト: インスタンスの起動時にコマンドを実行する独自のスクリプトを定義します。
-
SSH 更新を使用する:SSH 経由でインスタンスに接続して手動で更新を実行すると、更新が確実に持続します。
コントローラーによるパッチ
コントローラを使用するときにパッチを適用する方法は複数あります。
-
ホストウォームアップスクリプト:このスクリプトは、インスタンスの起動時に実行されます (1 回限りの操作)。インスタンスに更新を適用するには、ホストウォームアップスクリプトを変更し、インスタンスプールをドレインしてから元に戻します。これにより、完全に更新されたインスタンスに対してスクリプトが実行されます
空室状況
この操作を実行するときは、Mac EC2 の可用性に注意してください。
-
仮想化機能付きコントローラー:安定したスタック上のVM OSは一般的なアップデートを受けませんが、BitriseはOSの脆弱性を監視し、社内の情報セキュリティ評価に基づいて新しいAMIを公開しています。VM ウォームアップスクリプトは、新しいビルドが開始されるたびに、新しい VM で実行されます。VM OS のパッチには時間がかかるため、この方法には適さない場合があります。
カスタム AMI
Bitrise ControllerでカスタムAMIを使用することはできません。つまり、更新されたAMIのスナップショットを取ってコントローラーで使用することはできません。コントローラーは特定の Bitrise AMI のみを許可します。これが要件だと思われる場合は、 お問い合わせください。 話し合うために。
セキュリティパッチリファレンス
|
macOS 仮想化-コントローラー |
macOS ベアメタル-コントローラー |
macOS 仮想化-マニュアル |
macOS ベアメタル-マニュアル |
Linux ベアメタル-マニュアル |
|
|---|---|---|---|---|---|
|
ホスト OS アップデート |
ホストウォームアップスクリプトを使用して更新を実行できます。 |
ホストウォームアップスクリプトを使用して更新を実行できます。 |
カスタム AMI を使用できます インスタンスを直接変更できる |
カスタム AMI を使用できます インスタンスを直接変更できる |
カスタム AMI を使用できます インスタンスを直接変更できる |
|
仮想マシン OS アップデート |
Bitriseは重要なセキュリティアップデートを担当しています。 |
該当なし |
Bitriseは重要なセキュリティアップデートを担当しています。 |
該当なし |
該当なし |