OWASP Top 10 CI/CD Security Risks

 В декабре OWASP опубликовали Top 10 CI/CD Security Risk

Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей.

Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD - это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации с подходами DevOps и микросервисными архитектурами CI/CD системы и процессы меняются и приобретают все большую значимость для бизнес-процессов компании:

  • современные подходы автоматизации тестирования, использование K8s, непрерывной доставки GitOps приводят к усложнению цепочек доставки ПО (pipeline)
  • развиваются практики Infrastructure as Code (IaC), Security as Code и даже Everything as Code
  • интеграция с внешними поставщиками, партнерами и иными третьими лицами также является часть экосистемы CI/CD.

Эти особенности позволяют быстрее, гибче и удобнее выпускать ПО, но они же приводят к росту числа атак на CI/CD. Из недавних инцидентов можно отметить следующие:

  • В результате компрометации системы сборки ПО SolarWinds произошло внедрение вредоносного кода в инфраструктуры 18,000 крупных заказчиков
  • Утечка в Codecov привела к раскрытию секретов хранящихся в переменных окружения тысяч pipelin-ов большого количества разработчиков
  • Инцидент PHP breach произошел в результате внедрения вредоносного кода в версию PHP.
  • Новые атаки типа Dependency Confusion позволили подменить зависимости используемые крупными разработчиками ПО на вредоносные.
  • Компрометация NPM пакетов ua-parser-jscoa и rc, с миллионами скачиваний у каждого привели к попаданию вредоносного кода в окружения сборки и на рабочие компьютеры разработчиков.

Сообщество OWASP подготовило Top 10 CI/CD Security Risk чтобы помочь вам закрыть самые популярные недостатки и уязвимости, через которые осуществляется большинство атак.

По каждому риску/угрозе приводится подробная информация:

  • Definition - определение источника и сути угрозы
  • Description - детальное описание контекста угрозы и мотивации алакующего
  • Impact - предположения о возможном вреде, который может быть нанесен организации в результате реализации риска
  • Recommendations - возможный набор практик и мер безопасности для CI/CD
  • References - ссылки на подобные уязвимости, утечки и инциденты

В целом документ подробный, полезный и красиво оформлен.

Рекомендую ознакомится всем работникам задействованным в управлении CI/CD, pipeline или обеспечении их безопасности

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3