CI/CD-Sicherheit
Was ist CI/CD-Sicherheit?
CI/CD-SicherheitKontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
CI/CD-Systeme sitzen zwischen Quellcode und Produktion - eine Kompromittierung gibt Angreifenden nahezu beliebige Kontrolle darüber, was läuft. CI/CD-Sicherheit umfasst Identitäten (OIDC-Tokens mit minimalen Rechten, föderierte Identitäten, keine langlebigen Deploy-Keys), Pipeline-Konfiguration (gepinnte Runner, signierte Build-Schritte, isolierte Jobs), Secrets-Management (Vaults, JIT-Credentials, Secret-Scanning, maskierte Logs), Source-Integrität (signierte Commits, Branch-Protection, Pflicht-Reviews), Supply-Chain-Kontrollen (SBOM, SLSA, signierte Artefakte) und Schutz der Controller selbst. Vorfälle wie SolarWinds, Codecov und SCMKit zeigten CI/CD als hochwertiges Ziel. Wichtige Frameworks: OWASP CI/CD Top 10 und CISA-Guidance zur Software-Supply-Chain.
● Beispiele
- 01
GitHub Actions mit OIDC-Föderation zu AWS, ohne langlebige Secrets.
- 02
Durchsetzung von CODEOWNERS, signierten Commits und Pflicht-Reviews auf dem main-Branch.
● Häufige Fragen
Was ist CI/CD-Sicherheit?
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet CI/CD-Sicherheit?
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
Wie schützt man sich gegen CI/CD-Sicherheit?
Schutzmaßnahmen gegen CI/CD-Sicherheit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CI/CD-Sicherheit?
Übliche alternative Bezeichnungen: Pipeline-Sicherheit.