CISA 和 NSA 分享有关保护 CI/CD 环境安全的指南

安全 应用安全
为了强化环境,建议组织在云应用程序和服务上使用强加密算法、使用强凭据、向 CI/CD 配置添加签名、对所有代码更新使用两人规则 (2PR)、实施最低权限策略、实施网络分段以及审计和保护机密和用户凭据。

网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 发布了有关组织如何确保持续集成和持续交付 (CI/CD) 管道免受恶意攻击的指南。

该文档包括强化 CI/CD 云部署以及改进开发、安全和运营防御 (DevSecOps) 的建议和最佳实践。

CI/CD 是一种用于创建和测试代码更改的开发流程,被视为 DevSecOps 的关键部分,将自动化和安全性集成到开发生命周期中。

云的日益普及导致 CI/CD 管道在商业云环境中实施,使其成为威胁行为者的有吸引力的目标,这些威胁行为者希望将恶意代码注入 CI/CD 应用程序、窃取敏感信息或导致拒绝服务(拒绝服务)。

CISA 和 NSA 指出,CI/CD 环境面临的安全威胁包括不安全的第一方和第三方代码、中毒的管道执行、管道访问控制不足、不安全的系统配置、使用不安全的第三方服务以及秘密泄露。

恶意威胁行为者可能会利用不安全代码引入的 CI/CD 漏洞,可能会通过破坏源代码管理存储库来操纵构建过程,可能会利用缺乏访问控制或错误配置来在 CI/CD 管道中进行枢转,并且可能会通过以下方式引入安全漏洞:不当使用第三方服务。

图片

为了强化环境,建议组织在云应用程序和服务上使用强加密算法、使用强凭据、向 CI/CD 配置添加签名、对所有代码更新使用两人规则 (2PR)、实施最低权限策略、实施网络分段以及审计和保护机密和用户凭据。

此外,这两个机构建议更新操作系统、软件和 CI/CD 工具,删除不必要的应用程序,使用恶意软件检测工具,将安全扫描集成为 CI/CD 管道的一部分,限制使用不受信任的代码,分析提交的代码,删除临时资源,并实施软件物料清单 (SBOM) 和软件组成分析 (SCA)。

“NSA 和 CISA 鼓励组织实施拟议的缓解措施,以强化其 CI/CD 环境并支持组织 DevSecOps。通过实施拟议的缓解措施,组织可以减少 CI/CD 环境中的利用向量数量,并为对手的渗透创造一个具有挑战性的环境,”两家机构指出。

责任编辑:武晓燕 来源: 祺印说信安
相关推荐

2023-07-20 13:57:00

2023-01-30 15:55:08

2021-09-26 09:26:46

开发安全CICD管道

2020-12-15 16:13:21

DevSecOpsCICD

2021-08-05 05:03:56

NSA无线安全

2023-10-09 00:14:30

2022-05-19 09:00:00

安全CI/CD工具

2020-10-21 14:10:28

工具测试开发

2019-07-25 10:31:55

AWSDevOps架构

2021-05-18 08:00:00

Kubernetes容器进程

2023-10-13 06:57:38

2023-10-08 11:02:04

2022-02-22 09:00:00

软件开发CI/CD 管道工具

2019-12-13 08:03:41

APP应用安全网络攻击

2021-07-28 13:23:32

CICD管道安全漏洞

2020-10-12 07:00:00

JenkinsDevOps测试工具

2021-12-15 14:26:58

零信任技术前线数据保护

2018-09-07 11:12:19

CICD工具

2021-05-13 18:23:53

Tekton云原生Kubernetes

2023-01-16 08:00:00

点赞
收藏

51CTO技术栈公众号