如何提高CI/CD管道安全性?

數(shù)字化進程加速使得產(chǎn)品的開發(fā)和迭代節(jié)奏變快，在加速產(chǎn)品發(fā)布的同時，CI/CD也容易受到網(wǎng)絡(luò)安全問題的影響，如代碼損壞、安全錯誤配置和機密管理不當(dāng)。在CI/CD管道通過安全實踐可以確保代碼質(zhì)量、管理風(fēng)險并保持完整性。

CI/CD 安全性

《軟件供應(yīng)鏈狀況報告》報告發(fā)現(xiàn)，旨在積極滲透開源軟件供應(yīng)鏈的下一代網(wǎng)絡(luò)攻擊激增了430%。它還發(fā)現(xiàn)，51%的組織需要超過一周的時間來修復(fù)新的0 day漏洞。在這種背景下，CI/CD對DevOps的影響是強大的：它可以幫助開發(fā)人員將代碼發(fā)布速度提高 83%，從而騰出時間專注于更多的測試，包括安全性。

CI/CD安全性是關(guān)于在軟件交付管道中識別和減少安全風(fēng)險，從而生產(chǎn)出可靠和無風(fēng)險的高質(zhì)量產(chǎn)品。每個組織或產(chǎn)品都有一個基于其關(guān)鍵過程和工具的獨特CI/CD管道。但是加強CI/CD安全性的基本思想是避免數(shù)據(jù)泄露和應(yīng)用程序中斷。

CI/CD管道的核心包括關(guān)鍵的開發(fā)組件，如源代碼、應(yīng)用程序代碼存儲庫、容器和構(gòu)建服務(wù)器，這使它成為攻擊者的主要目標(biāo)。即使單個組件被破壞，也可能為攻擊者提供可利用資源。

在沒有CI/CD安全的情況下，攻擊者可以利用其漏洞進行重大攻擊。管道安全漏洞可能造成的一些安全風(fēng)險包括：

不安全的代碼：缺乏代碼掃描程序會引入惡意代碼和漏洞，網(wǎng)絡(luò)攻擊者可以利用這些漏洞造成嚴(yán)重破壞。

供應(yīng)鏈攻擊：嚴(yán)重依賴開源和第三方代碼庫是數(shù)據(jù)泄露事件的主要原因之一，因為它們可能帶來嚴(yán)重威脅。

秘密的暴露：不適當(dāng)?shù)陌踩芾碓试S在管道中使用的多個工具來利用敏感數(shù)據(jù)，如憑據(jù)。

不安全的系統(tǒng)配置：未能準(zhǔn)確配置基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)或應(yīng)用程序可能會使系統(tǒng)受到網(wǎng)絡(luò)攻擊。

缺少訪問控制：不實施基于管道的訪問控制會使惡意行為者能夠訪問關(guān)鍵資源和資產(chǎn)。

CI/CD的作用

CI/CD 管道是 DevOps 實踐的核心原則，專注于開發(fā)和運營之間的精簡協(xié)作。在安全“左移”方法中，軟件開發(fā)過程的每個階段都會集成安全性，來構(gòu)建以安全為核心的應(yīng)用程序，而不是在應(yīng)用程序交付后再考慮安全問題。

在 CI/CD 管道中添加安全性至關(guān)重要。根據(jù)Ponemon的網(wǎng)絡(luò)安全狀況報告，大約66%的組織在過去12個月中經(jīng)歷過網(wǎng)絡(luò)攻擊。它進一步披露，45%的攻擊受害者將攻擊歸咎于安全措施不足。除此之外，IBM還發(fā)現(xiàn)，企業(yè)平均需要197天才能發(fā)現(xiàn)數(shù)據(jù)泄露，而處理數(shù)據(jù)泄露則需要額外69天。

與網(wǎng)絡(luò)攻擊造成的財務(wù)和聲譽損失相比，在CI/CD管帶實施安全加固措施十分明智。

CI/CD安全加固的6個步驟

1. 始終識別 CI 管道配置錯誤

錯誤配置是網(wǎng)絡(luò)攻擊的主要原因之一，因為不法分子積極地尋求它們侵入系統(tǒng)。最近的一份報告發(fā)現(xiàn)，截至2021年，63%的第三方代碼模板包含不安全的配置。

通過持續(xù)檢測和修正錯誤配置，可以顯著減少針對應(yīng)用程序的惡意嘗試。使用強大的編碼、開發(fā)策略和自動化工具來阻止引入管道的風(fēng)險并確保每個工作負(fù)載的完整性，可以發(fā)現(xiàn)管道弱點。

2. 監(jiān)測可疑編碼模式

通過在開發(fā)周期的早期階段檢測代碼中的bug，可以顯著增強應(yīng)用程序的安全性。通過在管道中建立一個健壯的代碼評審實踐可以實現(xiàn)，并能提高代碼質(zhì)量。

通過遵循安全編碼原則可以避免出現(xiàn)軟件缺陷，同時攻擊者可能利用漏洞來執(zhí)行惡意代碼，因此需要監(jiān)視、定位和標(biāo)記可疑編碼模式。通過模式匹配或使用自動代碼安全工具識別正則表達式或字符序列等策略來實現(xiàn)這一點。

通過在存儲庫中使用帶有配置的代碼掃描機制的拉請求檢查，可以識別拉請求中的缺陷，檢查突出顯示的代碼段，并啟動修復(fù)。

3. 自動化與人工審核相結(jié)合

自動化已成為現(xiàn)代應(yīng)用程序開發(fā)領(lǐng)域的必需品。它有助于加快產(chǎn)品開發(fā)速度，從而為組織提供競爭優(yōu)勢。這同樣適用于安全管理。通過實施自動化，可以顯著改善管道安全狀況。IaC(基礎(chǔ)結(jié)構(gòu)即代碼)和 PaC(策略即代碼)是兩種廣泛使用的 DevOps 實踐。

4. 團隊合作主動利用現(xiàn)有的工具和框架

DevOps 在很大程度上依賴于自動化來加速開發(fā)、配置、測試和部署，從而更快地發(fā)布產(chǎn)品。如此快速的速度是通過使用多種工具和框架來實現(xiàn)的，這些工具和框架不僅可以加快流程，還可以快速識別和解決錯誤、漏洞和缺陷。它們還自動執(zhí)行監(jiān)控、測試和基礎(chǔ)設(shè)施管理等關(guān)鍵流程，減少不準(zhǔn)確的范圍?？梢允褂枚喾N類型的 CI/CD 工具來增強管道，例如：

CI 工具：持續(xù)集成工具能夠?qū)⒋a集成到共享存儲庫中，以自動執(zhí)行生成、測試和報告。它們有助于多個代碼集成并自動執(zhí)行驗證過程，以審查和識別代碼問題。

CD 工具：持續(xù)部署和交付工具可在將軟件推送到生產(chǎn)階段之前實現(xiàn)自動化測試和手動審查。使用 CD 工具可以加快軟件發(fā)布速度，并提高產(chǎn)品的質(zhì)量和可靠性。

配置管理工具：這些工具可以有序地跟蹤和管理更改。

5. 在管道中構(gòu)建持續(xù)測試

傳統(tǒng)上，開發(fā)人員會把測試留到軟件開發(fā)的最后階段。但這種方法會使得每發(fā)現(xiàn)缺陷都要回到原點從根源上解決問題。實現(xiàn)持續(xù)測試策略是加強CI/CD管道安全性的一種更有效的方法。它意味著在開發(fā)周期的每個階段注入軟件測試。

可以采用的一些測試實踐包括：

SAST：SAST(靜態(tài)應(yīng)用程序安全測試)可集成到軟件開發(fā)生命周期中，具有對應(yīng)用程序源代碼和二進制代碼的掃描訪問權(quán)限。直接面對源碼進行分析，可以查找代碼缺陷問題，安全漏洞及一些運行時缺陷。通過SAST可以提供對代碼的實時審查，快速改善安全問題。

DAST: DAST(動態(tài)應(yīng)用程序安全測試)可以掃描應(yīng)用程序及其相關(guān)結(jié)構(gòu)，而不需要看到源代碼、技術(shù)或框架。因此，它也被稱為“黑盒測試”。它突出了SQL注入和跨站點腳本等安全風(fēng)險。

滲透測試：滲透測試是一種測試練習(xí)，通過模擬虛假網(wǎng)絡(luò)攻擊以了解后門或端點漏洞等應(yīng)用程序弱點。它突出顯示了授權(quán)問題、業(yè)務(wù)邏輯漏洞和工作流差距等威脅。

6. 自動化數(shù)據(jù)安全

除了自動執(zhí)行安全管理之外，還應(yīng)自動執(zhí)行安全過程，包括數(shù)據(jù)安全性。這主要是因為產(chǎn)品版本與新數(shù)據(jù)庫、數(shù)據(jù)模型或新數(shù)據(jù)集相關(guān)聯(lián)。從生產(chǎn)環(huán)境中提取數(shù)據(jù)以運行測試和驗證功能時，必須保護敏感數(shù)據(jù)。

CI/CD可以說是關(guān)鍵的DevOps實踐，它形成了整個軟件開發(fā)過程的焦，并且包含關(guān)鍵的應(yīng)用程序組件，如源代碼、存儲庫和容器框架，因此可以理解，為什么攻擊者將CI/CD視為攻擊應(yīng)用程序的熱門目標(biāo)。

來源：

https://spectralops.io/blog/ci-cd-security-hardening/