保护持续集成(CI)/持续交付(CD)管道的6个优秀实践
网络攻击者利用了持续集成(CI)/持续交付(CD))管道和开发工具中的弱点,因此需要提高开发基础设施的安全性。值得关注的是,无论环境多么安全,针对软件审计商Codecov公司供应链的网络攻击事件都在警告人们不要在持续集成(CI)/持续交付(CD)环境变量中存储机密数据。 通过破坏数千名开发人员使用的Bash上传程序,针对Codecov公司的网络攻击者设法从客户环境中窃取凭据、密钥和API令牌,而在入侵两个月之后没有被发现,据报道,此次攻击还破坏了数百个受限制的客户网络。同样,对Jenkins、GitHub Actions和云原生容器化环境等自动化工具的攻击进一步促使企业探索和部署这些工具的有效防御措施。 以下是确保持续集成(CI)/持续交付(CD))管道保持安全的一些最佳实践。 1.停止在持续集成(CI)/持续交付(CD)环境中存储机密 对Codecov公司的供应链进行网络攻击取得成功背后的原因仍然是网络攻击者泄露的环境变量包含硬编码的秘密,其中包括密码、令牌和密钥。由于其中一些凭证让网络攻击者可以访问企业的私有GitHub存储库,因此这些私有存储库可能会发生进一步的数据泄露,其中包含...
