OWASP：CICD十大安全风险（37页）.pdf

1、 OWASP CI/CD 十大安全风险 OWASP CI/CD 十大安全风险 1 项目简介 CI/CD环境、流程和系统是现代软件组织的重要组成部分。它们将开发人员工作站的源代码上传到软件产品代码库。随着DevOps和微服务架构的兴起，CI/CD系统和流程已重塑软件工程生态系统：技术栈更加多样化，无论是编码语言，还是CI/CD流水线中采用的技术和框架（例如：GitOps、K8S）。新编程语言和框架的使用越来越快，且没有明显的技术障碍。自动化和基础设施即代码（IaC)的使用和实践有所增加。第三方软件已经成为CI/CD生态系统的重要组成部分，无论是外部供应商提供的第三方软件，还是软件代码依赖的第三方

2、软件。我们只需添加1、2行代码，即可在CI/CD系统中快速集成新服务。这些特性使得软件交付更快、更灵活、更多样化。然而，它们也重塑了攻击面，为攻击者提供了大量的新途径和新机会。各种级别的攻击者都把注意力转移到CI/CD上，因为他们意识到CI/CD服务提供了一个有效的途径来获取组织的核心资产。由于滥用CI/CD系统缺陷，各行业遭受安全事件和网络攻击的数量、频率和规模正大幅提升。这些安全事件包含：SolarWinds构建系统被入侵，导致18000名客户被传播恶意软件。Codecov漏洞，导致众多组织数千条构建管道中存储的环境变量信息泄露。PHP漏洞，导致发布了包含后门的恶意PHP版本。Depend

3、ency Confusion漏洞，通过获取外部依赖关系，在数十家大型组织的开发者工作站和构建环境中运行恶意代码。每周下载量达数百万次的“ua-parser-js”、“coa”和“rc NPM”软件包被破坏，导致恶意代码在数百万构建环境和开发者工作站上运行。虽然，攻击者已经根据CI/CD的新技术调整了他们的攻击技术，但大多数防御者仍在努力寻找正确的方法来检测、理解和管理与CI/CD环境相关的安全风险。为了在最佳安全和快速交付之间寻求适当的平衡，安全团队正在寻找最佳安全控制措施，以便在不影响安全的情况下实现软件产品的敏捷交付。OWASP CI/CD 十大安全风险 2 项目倡议 通过对CI/CD相关

4、攻击向量，以及被重点关注的攻击事件和安全漏洞的广泛研究，整理形成本文档，旨在帮助防御者确定其CI/CD生态系统安全的重点领域。本文档的编制由众多跨领域和跨学科的行业专家共同参与，以确保其符合当前的威胁态势、风险面，以及应对这些风险时所面临的挑战。感谢所有参与本文档编制、审查和验证的行业专家。原文原文作者作者 Daniel Krivelevich CTO at Cider Security Omer Gil Director of Research at Cider Security 审查审查人员人员 Iftach Ian Amit Advisory CSO at Rapid7 Jonathan

5、 Claudius Director of Security Assurance at Mozilla Michael Coates CEO&Co-Founder at Altitude Networks,Former CISO at Twitter Jonathan Jaffe CISO at Lemonade Insurance Adrian Ludwig Chief Trust Officer at Atlassian Travis McPeak Head of Product Security at Databricks Ron Peled Founder&CEO at Protect

6、Ops,Former CISO at LivePerson Ty Sbano CISO at Vercel Astha Singhal Director,Information Security at Netflix Hiroki Suezawa Security Engineer at Mercari,inc.Tyler Welton Principal Security Engineer at Built Technologies,Owner at Untamed Theory Tyler Young Head of Security at Relativity Ory Segal CTO