Come proteggere la pipeline CI/CD

Blog

CasaCasa / Blog / Come proteggere la pipeline CI/CD

May 29, 2023

Come proteggere la pipeline CI/CD

Sicurezza dei container L'integrazione continua e la distribuzione/distribuzione continua (CI/CD) hanno conquistato gli sviluppatori di app, con i team di sicurezza informatica aziendali impegnati a proteggere le pipeline CI/CD. OWASP

Sicurezza dei contenitori

L'integrazione continua e la distribuzione/distribuzione continua (CI/CD) hanno conquistato gli sviluppatori di app, con i team di sicurezza informatica aziendali impegnati a proteggere le pipeline CI/CD. I 10 principali rischi per la sicurezza CI/CD di OWASP chiariscono a cosa prestare attenzione.

Di: Trend Micro 29 agosto 2023 Tempo di lettura: ( parole)

Salva su Folio

Lo scorso autunno, l'Open Worldwide Application Security Project (OWASP) ha annunciato un nuovo progetto incentrato sui 10 principali rischi per la sicurezza per le pipeline CI/CD. (CI/CD sta per integrazione continua e distribuzione/distribuzione continua, una sorta di approccio di "movimento perpetuo" allo sviluppo del software.)

La top 10 riflette quanto siano diventati diffusi CI/CD e quanto vulnerabili possano essere le sue pipeline a causa della complessità dello stack tecnologico, del maggiore utilizzo dell’automazione e dell’infrastruttura come codice e della maggiore integrazione di terze parti. Evidenzia inoltre un altro caso in cui i tradizionali professionisti della sicurezza informatica si assumono maggiori responsabilità mentre le operazioni di sicurezza e la sicurezza del cloud continuano a convergere.

Privilegio minimo, Zero Trust

Sulla base della nostra valutazione, i 10 principali rischi per la sicurezza CI/CD di OWASP rientrano in tre categorie generali: rischi di accesso e credenziali; rischi di integrazione e dipendenza; e rischi di configurazione. Se c'è un messaggio ricorrente, è che le organizzazioni dovrebbero adottare, ove possibile, i principi del privilegio minimo e abbracciare lo spirito dell'approccio Zero Trust.

Rischi di accesso e credenziali nella pipeline CI/CD

Gestione inadeguata delle identità e degli accessi

La natura aperta e continua di CI/CD fa sì che più persone e macchine partecipino all'ecosistema di sviluppo attraverso le sue fasi e fasi. Anche una sola identità compromessa può potenzialmente causare danni piuttosto gravi.

Secondo OWASP, le identità possono soffrire di numerosi punti deboli, da autorizzazioni troppo ampie alla scadenza. Si consiglia la mappatura continua di tutte le identità interne ed esterne, rimuovendo le autorizzazioni non necessarie e non concedendo autorizzazioni generali a tutti gli utenti o a gruppi di grandi dimensioni. Gli account obsoleti dovrebbero avere una durata di conservazione definita. Gli account locali (quelli che non sono gestiti centralmente) dovrebbero essere vietati, così come l'uso di indirizzi e-mail personali o non aziendali, l'autoregistrazione e gli account condivisi.

Igiene delle credenziali insufficiente

I malintenzionati apprezzano le credenziali per l'accesso che forniscono a risorse di alto valore e per le opportunità che offrono di distribuire codice e artefatti dannosi. Possono essere esposti in diversi modi nella pipeline CI/CD.

Se inviate a un ramo del repository di gestione delle modifiche software (SCM), le credenziali possono essere lette da chiunque abbia accesso al repository. Possono essere lasciati allo scoperto se utilizzati in modo non sicuro nei processi di creazione e distribuzione o nei livelli di immagine e possono anche essere stampati sugli output della console.

Le raccomandazioni di OWASP sono di ruotare regolarmente le credenziali, applicare sempre il principio del privilegio minimo, utilizzare credenziali temporanee anziché statiche e rimuovere eventuali segreti o credenziali dagli artefatti una volta che non sono più necessari.

Controlli di accesso basati su pipeline (PBAC) insufficienti

I nodi di esecuzione CI/CD accedono a sistemi e risorse sia interni che esterni. I malintenzionati possono utilizzare tale accesso per diffondere codice dannoso, sfruttando tutte le autorizzazioni associate alla fase della pipeline in cui viene eseguito il codice.

Per rimediare a questo, OWASP afferma che i nodi con diversi livelli di sensibilità o requisiti di risorse non dovrebbero essere condivisi da più pipeline. Consiglia inoltre una forma di privilegio minimo per garantire che ogni passaggio della pipeline possa accedere solo ai segreti di cui ha bisogno e a nessun altro. Una volta eseguita la pipeline, il nodo dovrebbe essere ripristinato al suo “stato originario” e ogni nodo dovrebbe avere patch di sicurezza completamente aggiornate.

Rischi di integrazione e dipendenza nella pipeline CI/CD

Abuso della catena di dipendenze

Il codice nella pipeline CI/CD può dipendere da altro codice per funzionare e tali dipendenze possono essere utilizzate per importare pacchetti dannosi nel processo di sviluppo.