Цепочки поставок разработки и доставки программного обеспечения являются привлекательными объектами для злоумышленников. Они могут использовать эти среды для компрометации облачных развертываний на протяжении всего жизненного цикла автоматизированной разработки и доставки программного обеспечения.
Агентство национальной безопасности (NSA) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) публично выпускают Информационный бюллетень по кибербезопасности (CSI) – “Защита сред непрерывной интеграции / непрерывной доставки (CI / CD)”, содержащий рекомендации по интеграции лучших практик безопасности в типичные среды CI / CD разработки программного обеспечения и эксплуатации (DevOps). Агентства поощряют организации использовать лучшие практики для повышения надежности развертывания облачных систем CI / CD.
“Виртуальная облачная среда основана на программном обеспечении, что делает разработку и доставку важнейшим компонентом предоставления услуг в облаке”, – сказал доктор Итан Гивенс, технический директор АНБ по критическим и новым технологиям. “Неспособность эффективно защитить конвейер CI / CD может обеспечить вектор атаки, который обходит политики безопасности и продукты”.
Типичные среды DevOps CI / CD являются привлекательными целями для злоумышленников. Они могут скомпрометировать информацию путем внедрения вредоносного кода в приложения CI / CD, получить доступ к интеллектуальной собственности / коммерческим секретам путем кражи кода или вызвать эффект отказа в обслуживании приложений.
DevOps – это методология, которая объединяет разработку программного обеспечения и операции с информационными технологиями (ИТ). Она используется для сокращения жизненного цикла разработки программного обеспечения и обеспечения непрерывной поставки высококачественных продуктов. При интеграции безопасности в DevOps методология называется DevSecOps.
Конвейер CI / CD является ключевой частью подхода DevSecOps, который объединяет безопасность и автоматизацию на протяжении всего жизненного цикла разработки. Он фокусируется на безопасной, быстрой и эффективной автоматизации интеграции и доставки приложений. Конвейеры CI / CD часто внедряются в коммерческих облачных средах. Организации используют инструменты и сервисы DevSecOps CI / CD для надежной оптимизации разработки программного обеспечения и управления приложениями и облачной программируемой инфраструктурой.
Рекомендации CSI по усилению конвейеров CI / CD включают лучшие практики аутентификации и контроля доступа, среды и инструменты разработки и процесс разработки в целом. NSA и CISA рекомендуют организациям и сетевым защитникам внедрить меры по смягчению последствий в этом CSI, чтобы уменьшить компрометацию своих сред CI / CD и создать сложную среду для злоумышленников, действующих в киберпространстве.