網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和國家安全局 (NSA) 發(fā)布了有關(guān)組織如何確保持續(xù)集成和持續(xù)交付 (CI/CD) 管道免受惡意攻擊的指南。

該文檔包括強(qiáng)化 CI/CD 云部署以及改進(jìn)開發(fā)、安全和運(yùn)營防御 (DevSecOps) 的建議和最佳實(shí)踐。

CI/CD 是一種用于創(chuàng)建和測試代碼更改的開發(fā)流程，被視為 DevSecOps 的關(guān)鍵部分，將自動(dòng)化和安全性集成到開發(fā)生命周期中。

云的日益普及導(dǎo)致 CI/CD 管道在商業(yè)云環(huán)境中實(shí)施，使其成為威脅行為者的有吸引力的目標(biāo)，這些威脅行為者希望將惡意代碼注入 CI/CD 應(yīng)用程序、竊取敏感信息或?qū)е戮芙^服務(wù)（拒絕服務(wù)）。

CISA 和 NSA 指出，CI/CD 環(huán)境面臨的安全威脅包括不安全的第一方和第三方代碼、中毒的管道執(zhí)行、管道訪問控制不足、不安全的系統(tǒng)配置、使用不安全的第三方服務(wù)以及秘密泄露。

惡意威脅行為者可能會(huì)利用不安全代碼引入的 CI/CD 漏洞，可能會(huì)通過破壞源代碼管理存儲(chǔ)庫來操縱構(gòu)建過程，可能會(huì)利用缺乏訪問控制或錯(cuò)誤配置來在 CI/CD 管道中進(jìn)行樞轉(zhuǎn)，并且可能會(huì)通過以下方式引入安全漏洞：不當(dāng)使用第三方服務(wù)。

為了強(qiáng)化環(huán)境，建議組織在云應(yīng)用程序和服務(wù)上使用強(qiáng)加密算法、使用強(qiáng)憑據(jù)、向 CI/CD 配置添加簽名、對所有代碼更新使用兩人規(guī)則 (2PR)、實(shí)施最低權(quán)限策略、實(shí)施網(wǎng)絡(luò)分段以及審計(jì)和保護(hù)機(jī)密和用戶憑據(jù)。

此外，這兩個(gè)機(jī)構(gòu)建議更新操作系統(tǒng)、軟件和 CI/CD 工具，刪除不必要的應(yīng)用程序，使用惡意軟件檢測工具，將安全掃描集成為 CI/CD 管道的一部分，限制使用不受信任的代碼，分析提交的代碼，刪除臨時(shí)資源，并實(shí)施軟件物料清單 (SBOM) 和軟件組成分析 (SCA)。

“NSA 和 CISA 鼓勵(lì)組織實(shí)施擬議的緩解措施，以強(qiáng)化其 CI/CD 環(huán)境并支持組織 DevSecOps。通過實(shí)施擬議的緩解措施，組織可以減少 CI/CD 環(huán)境中的利用向量數(shù)量，并為對手的滲透創(chuàng)造一個(gè)具有挑戰(zhàn)性的環(huán)境，”兩家機(jī)構(gòu)指出。