СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Сергей Борисов
06.12.2022
#Dev#ИБ

OWASP Top 10 CI/CD Security Risks

OWASP Top 10 CICD Security Risks

В декабре OWASP опубликовали Top 10 CI/CD Security Risk

Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей.

Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD — это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации с подходами DevOps и микросервисными архитектурами CI/CD системы и процессы меняются и приобретают все большую значимость для бизнес-процессов компании:

  • современные подходы автоматизации тестирования, использование K8s, непрерывной доставки GitOps приводят к усложнению цепочек доставки ПО (pipeline)
  • развиваются практики Infrastructure as Code (IaC), Security as Code и даже Everything as Code
  • интеграция с внешними поставщиками, партнерами и иными третьими лицами также является часть экосистемы CI/CD.

Эти особенности позволяют быстрее, гибче и удобнее выпускать ПО, но они же приводят к росту числа атак на CI/CD. Из недавних инцидентов можно отметить следующие:

  • В результате компрометации системы сборки ПО SolarWinds произошло внедрение вредоносного кода в инфраструктуры 18,000 крупных заказчиков
  • Утечка в Codecov привела к раскрытию секретов хранящихся в переменных окружения тысяч pipelin-ов большого количества разработчиков
  • Инцидент PHP breach произошел в результате внедрения вредоносного кода в версию PHP.
  • Новые атаки типа Dependency Confusion позволили подменить зависимости используемые крупными разработчиками ПО на вредоносные.
  • Компрометация NPM пакетов ua-parser-js, coa и rc, с миллионами скачиваний у каждого привели к попаданию вредоносного кода в окружения сборки и на рабочие компьютеры разработчиков.

Сообщество OWASP подготовило Top 10 CI/CD Security Risk чтобы помочь вам закрыть самые популярные недостатки и уязвимости, через которые осуществляется большинство атак.

По каждому риску/угрозе приводится подробная информация:

  • Definition — определение источника и сути угрозы
  • Description — детальное описание контекста угрозы и мотивации алакующего
  • Impact — предположения о возможном вреде, который может быть нанесен организации в результате реализации риска
  • Recommendations — возможный набор практик и мер безопасности для CI/CD
  • References — ссылки на подобные уязвимости, утечки и инциденты

В целом документ подробный, полезный и красиво оформлен.

Рекомендую ознакомится всем работникам задействованным в управлении CI/CD, pipeline или обеспечении их безопасности

Блог Сергея Борисова sborisov.blogspot.com

Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов
Автор: Сергей Борисов
Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Комментарии: