CI/CD セキュリティ
CI/CD セキュリティ とは何ですか?
CI/CD セキュリティ継続的インテグレーションと継続的デリバリーのパイプラインを、侵害・コード注入・シークレット漏洩・不正デプロイから守るための一連の統制。
CI/CD 基盤はソースコードと本番の間に位置するため、ここを侵害されると攻撃者は実行されるものをほぼ自由に操作できます。CI/CD セキュリティは、アイデンティティ(最小権限の OIDC トークン、フェデレーション、長寿命のデプロイ鍵を持たない設計)、パイプライン構成(ピン留めされたランナー、署名付きビルドステップ、隔離されたジョブ)、シークレット管理(Vault、ジャストインタイム認証情報、シークレットスキャン、ログのマスキング)、ソースの完全性(署名コミット、ブランチ保護、必須レビュー)、サプライチェーン統制(SBOM、SLSA、署名済み成果物)、コントローラ自体のランタイム保護を含みます。SolarWinds、Codecov、SCMKit 等の事案により、CI/CD は高価値の攻撃対象とされています。代表的な指針には OWASP CI/CD Top 10 と CISA のサプライチェーンガイダンスがあります。
● 例
- 01
GitHub Actions が OIDC フェデレーションで AWS にアクセスし、長寿命のシークレットを持たない構成。
- 02
main ブランチで CODEOWNERS、署名コミット、必須レビューを強制適用する設定。
● よくある質問
CI/CD セキュリティ とは何ですか?
継続的インテグレーションと継続的デリバリーのパイプラインを、侵害・コード注入・シークレット漏洩・不正デプロイから守るための一連の統制。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
CI/CD セキュリティ とはどういう意味ですか?
継続的インテグレーションと継続的デリバリーのパイプラインを、侵害・コード注入・シークレット漏洩・不正デプロイから守るための一連の統制。
CI/CD セキュリティ からどのように防御しますか?
CI/CD セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CI/CD セキュリティ の別名は何ですか?
一般的な別名: パイプラインセキュリティ。