CI/CD-Sicherheit
Was ist CI/CD-Sicherheit?
CI/CD-SicherheitKontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
CI/CD-Systeme sitzen zwischen Quellcode und Produktion - eine Kompromittierung gibt Angreifenden nahezu beliebige Kontrolle darüber, was läuft. CI/CD-Sicherheit umfasst Identitäten (OIDC-Tokens mit minimalen Rechten, föderierte Identitäten, keine langlebigen Deploy-Keys), Pipeline-Konfiguration (gepinnte Runner, signierte Build-Schritte, isolierte Jobs), Secrets-Management (Vaults, JIT-Credentials, Secret-Scanning, maskierte Logs), Source-Integrität (signierte Commits, Branch-Protection, Pflicht-Reviews), Supply-Chain-Kontrollen (SBOM, SLSA, signierte Artefakte) und Schutz der Controller selbst. Vorfälle wie SolarWinds, Codecov und SCMKit zeigten CI/CD als hochwertiges Ziel. Wichtige Frameworks: OWASP CI/CD Top 10 und CISA-Guidance zur Software-Supply-Chain.
● Beispiele
- 01
GitHub Actions mit OIDC-Föderation zu AWS, ohne langlebige Secrets.
- 02
Durchsetzung von CODEOWNERS, signierten Commits und Pflicht-Reviews auf dem main-Branch.
● Häufige Fragen
Was ist CI/CD-Sicherheit?
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet CI/CD-Sicherheit?
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
Wie funktioniert CI/CD-Sicherheit?
CI/CD-Systeme sitzen zwischen Quellcode und Produktion - eine Kompromittierung gibt Angreifenden nahezu beliebige Kontrolle darüber, was läuft. CI/CD-Sicherheit umfasst Identitäten (OIDC-Tokens mit minimalen Rechten, föderierte Identitäten, keine langlebigen Deploy-Keys), Pipeline-Konfiguration (gepinnte Runner, signierte Build-Schritte, isolierte Jobs), Secrets-Management (Vaults, JIT-Credentials, Secret-Scanning, maskierte Logs), Source-Integrität (signierte Commits, Branch-Protection, Pflicht-Reviews), Supply-Chain-Kontrollen (SBOM, SLSA, signierte Artefakte) und Schutz der Controller selbst. Vorfälle wie SolarWinds, Codecov und SCMKit zeigten CI/CD als hochwertiges Ziel. Wichtige Frameworks: OWASP CI/CD Top 10 und CISA-Guidance zur Software-Supply-Chain.
Wie schützt man sich gegen CI/CD-Sicherheit?
Schutzmaßnahmen gegen CI/CD-Sicherheit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CI/CD-Sicherheit?
Übliche alternative Bezeichnungen: Pipeline-Sicherheit.
● Verwandte Begriffe
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
- appsec№ 459
Hardcodierte Secrets im Code
Einbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden.
- appsec№ 444
GitOps-Sicherheit
Sicherheitspraktiken für GitOps-Workflows, in denen der deklarative Soll-Zustand von Infrastruktur und Anwendungen in Git liegt und von einem automatisierten Controller in die Produktion abgeglichen wird.
- appsec№ 784
Paketsignatur
Anbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
- appsec№ 309
DevSecOps
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.