【資料圖】
網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和國家安全局 (NSA) 發(fā)布了有關(guān)組織如何確保持續(xù)集成和持續(xù)交付 (CI/CD) 管道免受惡意攻擊的指南。
該文檔包括強(qiáng)化 CI/CD 云部署以及改進(jìn)開發(fā)�、安全和運營防御 (DevSecOps) 的建議和最佳實踐�。
CI/CD 是一種用于創(chuàng)建和測試代碼更改的開發(fā)流程,被視為 DevSecOps 的關(guān)鍵部分�,將自動化和安全性集成到開發(fā)生命周期中。
云的日益普及導(dǎo)致 CI/CD 管道在商業(yè)云環(huán)境中實施���,使其成為威脅行為者的有吸引力的目標(biāo)�����,這些威脅行為者希望將惡意代碼注入 CI/CD 應(yīng)用程序�����、竊取敏感信息或?qū)е戮芙^服務(wù)(拒絕服務(wù))����。
CISA 和 NSA 指出����,CI/CD 環(huán)境面臨的安全威脅包括不安全的第一方和第三方代碼、中毒的管道執(zhí)行��、管道訪問控制不足���、不安全的系統(tǒng)配置����、使用不安全的第三方服務(wù)以及秘密泄露�����。
惡意威脅行為者可能會利用不安全代碼引入的 CI/CD 漏洞����,可能會通過破壞源代碼管理存儲庫來操縱構(gòu)建過程,可能會利用缺乏訪問控制或錯誤配置來在 CI/CD 管道中進(jìn)行樞轉(zhuǎn)���,并且可能會通過以下方式引入安全漏洞:不當(dāng)使用第三方服務(wù)���。
為了強(qiáng)化環(huán)境,建議組織在云應(yīng)用程序和服務(wù)上使用強(qiáng)加密算法���、使用強(qiáng)憑據(jù)����、向 CI/CD 配置添加簽名���、對所有代碼更新使用兩人規(guī)則 (2PR)�、實施最低權(quán)限策略���、實施網(wǎng)絡(luò)分段以及審計和保護(hù)機(jī)密和用戶憑據(jù)�。
此外�,這兩個機(jī)構(gòu)建議更新操作系統(tǒng)、軟件和 CI/CD 工具�����,刪除不必要的應(yīng)用程序���,使用惡意軟件檢測工具����,將安全掃描集成為 CI/CD 管道的一部分��,限制使用不受信任的代碼,分析提交的代碼,刪除臨時資源�,并實施軟件物料清單 (SBOM) 和軟件組成分析 (SCA)���。
“NSA 和 CISA 鼓勵組織實施擬議的緩解措施�����,以強(qiáng)化其 CI/CD 環(huán)境并支持組織 DevSecOps�。通過實施擬議的緩解措施,組織可以減少 CI/CD 環(huán)境中的利用向量數(shù)量����,并為對手的滲透創(chuàng)造一個具有挑戰(zhàn)性的環(huán)境,”兩家機(jī)構(gòu)指出��。
