Безопасность CI/CD.

Совокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев. Относится к категории Безопасность приложений в кибербезопасности.

Совокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев.

Системы CI/CD находятся между исходным кодом и продакшеном, поэтому их компрометация даёт атакующим почти произвольный контроль над тем, что выполняется. Безопасность CI/CD охватывает идентичности (OIDC-токены с минимальными правами, федеративная идентификация, отсутствие долгоживущих ключей деплоя), конфигурацию конвейера (закреплённые раннеры, подписанные шаги сборки, изолированные задачи), управление секретами (хранилища, JIT-учётные данные, секрет-сканирование, маскировка логов), целостность исходников (подписанные коммиты, защита веток, обязательные ревью), контроли цепочки поставок (SBOM, SLSA, подписанные артефакты) и защиту самих контроллеров на этапе исполнения. Инциденты SolarWinds, Codecov и исследования SCMKit показали, что CI/CD — ценная цель. Полезны OWASP CI/CD Top 10 и рекомендации CISA по защите цепочки поставок.

Защита от Безопасность CI/CD обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: Безопасность пайплайнов.