Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

OWASP Top 10 CI/CD Security Risks

OWASP Top 10 CI/CD Security Risks

 В декабре OWASP опубликовали  Top 10 CI/CD Security Risk

Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей.

Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD - это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации с подходами DevOps и микросервисными архитектурами CI/CD системы и процессы меняются и приобретают все большую значимость для бизнес-процессов компании:

  • современные подходы автоматизации тестирования, использование K8s, непрерывной доставки GitOps приводят к усложнению цепочек доставки ПО (pipeline)
  • развиваются практики Infrastructure as Code (IaC), Security as Code и даже Everything as Code
  • интеграция с внешними поставщиками, партнерами и иными третьими лицами также является часть экосистемы CI/CD.

Эти особенности позволяют быстрее, гибче и удобнее выпускать ПО, но они же приводят к росту числа атак на CI/CD. Из недавних инцидентов можно отметить следующие:

  • В результате компрометации системы сборки ПО SolarWinds произошло внедрение вредоносного кода в инфраструктуры 18,000 крупных заказчиков
  • Утечка в Codecov привела к раскрытию секретов хранящихся в переменных окружения тысяч pipelin-ов большого количества разработчиков
  • Инцидент PHP breach произошел в результате внедрения вредоносного кода в версию PHP.
  • Новые атаки типа Dependency Confusion позволили подменить зависимости используемые крупными разработчиками ПО на вредоносные.
  • Компрометация NPM пакетов ua-parser-jscoa и rc, с миллионами скачиваний у каждого привели к попаданию вредоносного кода в окружения сборки и на рабочие компьютеры разработчиков.

Сообщество OWASP подготовило Top 10 CI/CD Security Risk чтобы помочь вам закрыть самые популярные недостатки и уязвимости, через которые осуществляется большинство атак.

По каждому риску/угрозе приводится подробная информация:

  • Definition - определение источника и сути угрозы
  • Description - детальное описание контекста угрозы и мотивации алакующего
  • Impact - предположения о возможном вреде, который может быть нанесен организации в результате реализации риска
  • Recommendations - возможный набор практик и мер безопасности для CI/CD
  • References - ссылки на подобные уязвимости, утечки и инциденты

В целом документ подробный, полезный и красиво оформлен.

Рекомендую ознакомится всем работникам задействованным в управлении CI/CD, pipeline или обеспечении их безопасности

Блог Сергея Борисова sborisov.blogspot.com
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
310K
долларов
до 18 лет
Антипов жжет
Ребёнок как убыточный
актив. Считаем честно.
Почему рожают меньше те, кто умеет считать на десять лет вперёд.

article-title

Сергей Борисов

FREE
100%
Кибербезопасность · Обучение
УЧИСЬ!
ИЛИ
ВЗЛОМАЮТ
Лучшие ИБ-мероприятия
и вебинары — в одном месте
ПОДПИШИСЬ
T.ME/SECWEBINARS