Segurança de CI/CD.

Conjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados. Pertence à categoria Segurança de aplicações da cibersegurança.

Conjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados.

Os sistemas de CI/CD ficam entre o código-fonte e a produção, pelo que o seu comprometimento dá aos atacantes um controlo quase total sobre o que corre. A segurança de CI/CD abrange identidade (tokens OIDC com privilégios mínimos, identidades federadas, sem chaves de deploy de longa duração), configuração do pipeline (runners pinned, passos assinados, jobs isolados), gestão de segredos (vaults, credenciais just-in-time, secret scanning, logs mascarados), integridade do código (commits assinados, proteção de branches, revisões obrigatórias), controlos de cadeia de fornecimento (SBOM, SLSA, artefactos assinados) e proteção em runtime dos próprios controladores. Incidentes como SolarWinds, Codecov e a pesquisa SCMKit colocaram o CI/CD como alvo de alto valor. Referenciais relevantes: OWASP CI/CD Top 10 e orientações da CISA sobre cadeia de fornecimento.

As defesas contra Segurança de CI/CD costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Segurança dos pipelines.