Start Empfohlen Warum die CI/CD-Pipeline anfällig für Angriffe ist

Warum die CI/CD-Pipeline anfällig für Angriffe ist [Q&A]

6
0


digitales Schloss öffnen

Jüngste hochkarätige Angriffe auf die Lieferkette wie SolarWinds haben gezeigt, wie anfällig die Softwareentwicklungspipeline sein kann.

Um mehr darüber zu erfahren, warum die CI/CD-Pipeline besonders anfällig für Angriffe ist und was getan werden kann, um sie zu verhindern, haben wir mit Vickie Li, Developer Evangelist bei . gesprochen Nach links verschieben, das gerade ein neues Produkt, ShiftLeft CORE, auf den Markt gebracht hat, das darauf abzielt, das Risiko für die Softwarecodebasis zu reduzieren.

BN: Was ist CI/CD? Wie unterscheidet sie sich von der CI/CD-Pipeline?

VL: Continuous Integration (CI) und Continuous Delivery/Deployment (CD) ermöglichen Entwicklern, Softwareänderungen häufiger, nahtloser und sicherer bereitzustellen. Der CI/CD-Prozess wird als Pipeline visualisiert, die aus drei miteinander verbundenen Praktiken besteht.

CI steht für kontinuierliche Integration. Continuous Integration bezieht sich auf einen automatisierten Prozess, bei dem Entwickler konsistent neue Codeänderungen erstellen, testen und in Repositorys zusammenführen können. Da Code häufig mit unterschiedlichen Tools auf verschiedenen Plattformen geschrieben wird, muss das System routinemäßig überprüfen, ob Änderungen validiert werden, indem Builds erstellt und automatisierte Tests durchgeführt werden.

CD kann sich entweder auf Continuous Delivery und/oder Continuous Deployment beziehen. Oft werden beide synonym verwendet. Kleine Abweichungen zwischen den beiden sind jedoch erwähnenswert:

  • Continuous Delivery bezieht sich auf Codeänderungen von Entwicklern, die automatisch auf Fehler getestet und in Code-Repositorys wie GitHub hochgeladen werden. Betriebsteams können dann Anwendungen in einer Live-Produktionsumgebung bereitstellen, wodurch der Bereitstellungsprozess sowie die Kommunikation zwischen Entwicklern und Geschäftsteams optimiert werden.
  • Nach der Bereitstellung stellt Continuous Deployment Codeänderungen automatisch aus einem Code-Repository in eine Produktionsumgebung bereit, wo sie dann für Kunden zugänglich sind. Dies entlastet Betriebsteams, die in der Vergangenheit Änderungen manuell in die Produktion übertragen haben.

BN: Wie haben die jüngsten Verstöße das Risiko für diese Phase der Entwicklungspipeline gezeigt?

VL: Aufgrund der Pandemie beeilten sich Unternehmen, Initiativen zur digitalen Transformation zu beschleunigen; eine Verschiebung, die Softwareentwicklern, die mit der Bereitstellung von Anwendungen mit einer höheren Geschwindigkeit als je zuvor beauftragt waren, um Remote-Arbeit zu ermöglichen, eine schwere Last auferlegte. Gleichzeitig mit diesem Druck haben größere Datenschutzverletzungen wie SolarWinds in jüngster Zeit ein erhebliches Risiko für die CI/CD-Pipeline aufgezeigt und Unternehmen gezeigt, warum sie der Sicherheit der Software-Lieferkette hohe Priorität einräumen müssen.

In der Vergangenheit wurde Sicherheit übersehen, da sie nicht in bestehende Entwicklungsworkflows passte. Diese Position ist jedoch im heutigen digitalen Zeitalter nicht mehr akzeptabel. Aufsehenerregende Cyberangriffe im vergangenen Jahr und ein Anstieg um 430 Prozent insgesamt haben gezeigt, wie anfällig Softwarelieferketten sein können. Wenn sie erfolgreich sind, können Angriffe auf die Lieferkette Angreifern den Zugriff auf die Software eines Drittanbieters ermöglichen, wodurch sie Code manipulieren und bösartige Komponenten einfügen können, um nachgelagerte und vorgelagerte Anwendungen zu kompromittieren.

Vor allem das vergangene Jahr hat diese drohende Bedrohung beleuchtet, die jetzt die Aufmerksamkeit von Regierungen auf internationaler Ebene auf sich zieht. Präsident Biden hat kürzlich eine Durchführungsverordnung zur Sicherheit der Lieferkette und Großbritanniens Nationales Cybersicherheitszentrum (NCSC) veröffentlicht eine ähnliche Warnung.

BN: Was sind die größten Bedrohungen für die CI/CD-Pipeline?

VL: Zwei der wichtigsten Bedrohungen für die CI/CD-Pipeline sind interne Bedrohungen und Open-Source-Schwachstellen:

  • Insider-Bedrohungen — Eine der einfachsten Möglichkeiten, die Software eines Unternehmens zu infiltrieren, sind privilegierte Insider. Verizon’s 2020 Data Breach Investigations Report stellte fest, dass ein Drittel der Datenschutzverletzungen von Insider-Akteuren ausgehen. Insider-Bedrohungen können privilegierte IT-Administratoren, verärgerte ehemalige Mitarbeiter, Führungskräfte oder Angreifer sein, die sich Zugang zu den Zugangsdaten von Mitarbeitern verschafft haben.
  • Open-Source-Sicherheitslücken — Die meisten modernen Anwendungen enthalten einige Open-Source-Komponenten. Die Verwendung von vorgefertigtem Code vereinfacht zwar den Anwendungsentwicklungsprozess, birgt aber auch ernsthafte Sicherheitsrisiken. Tatsächlich enthielten 99 Prozent der Codebasen mindestens eine Open-Source-Komponente, und 91 Prozent dieser Codebasen enthielten Komponenten, die entweder mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungsaktivitäten erfahren hatten. Angreifer kompromittieren oft absichtlich Open-Source-Software, um Anwendungen anzugreifen, die darauf angewiesen sind.

BN: Welchen Schaden können Angreifer anrichten, wenn eine Lieferkette kompromittiert wird?

VL: Angriffe auf die Lieferkette sind nicht immer leicht zu erkennen. Wie bei der SolarWinds-Sicherheitsverletzung – bei der 18.000 Kunden aus den Bereichen Regierung, Beratung, Telekommunikation und Technologie infiziert wurden – starteten Hacker nicht sofort einen Angriff. Vielmehr blieben sie wochenlang inaktiv, bevor sie den Kontakt aufnahmen. Durch die Infektion eines Updates können Angreifer potenziell unzählige Unternehmen in jedem beliebigen Zeitraum infiltrieren.

Heutzutage ist jedes Unternehmen auf irgendeine Art von Drittanbieter angewiesen, wodurch die Bedrohungslandschaft exponentiell erweitert wird. Eine Studie ergab, dass 31 Prozent der Drittanbieter im Falle eines Verstoßes Organisationen erheblichen Schaden zufügen könnten. Wenn Bedrohungsakteure ihren Weg in die Systeme und die Infrastruktur der Zielpersonen finden, können sie über Netzwerke hinweg manövrieren und Zugang zu proprietären und sensiblen Informationen erhalten.

BN: Wie können Entwickler und Organisationen ihre Softwareentwicklungspipelines besser absichern?

VL: Organisationen müssen sicherstellen, dass Builds voneinander unabhängig sind, damit im Falle eines Verstoßes kompromisslose Builds unberührt bleiben. Unternehmen müssen routinemäßig Sicherheitsüberprüfungen durchführen und die Erkennung von Insider-Bedrohungen direkt in die Software-Lieferkette integrieren, um die Unbestreitbarkeit der gelieferten Software in jeder Phase zu gewährleisten. Entwickler sollten für die Sicherheit des von ihnen geschriebenen Codes verantwortlich sein. Builds sollten gescannt werden, solange der Code noch frisch im Gedächtnis ist, damit sie Schwachstellen schnell finden und beheben können, bevor der Code an die nächste Phase übergeben wird. Organisationen, die Open-Source-Software verwenden, können automatisierte Tools verwenden, um bekannte Open-Source-Schwachstellen zu überwachen, um sicherzustellen, dass sie nicht in die Codebasis eingeführt werden.

Da Angriffe auf die Software-Lieferkette immer häufiger und immer häufiger werden, müssen Entwickler und Unternehmen gleichermaßen die Sicherung von Anwendungen bei ihrer Entstehung durch verstärkte Sicherheitsmaßnahmen rund um CI/CD-Pipelines und Entwicklungspraktiken genauer unter die Lupe nehmen. Die Bereitstellung von sicherem Code, die Aufrechterhaltung der Transparenz und die konsistente Überwachung der Architektur sind entscheidende Schritte zur Aufrechterhaltung der allgemeinen Sicherheit und Integrität Ihrer Software-Lieferkette.

Bildnachweis: maxkabakov / Depositphotos.com



Vorheriger ArtikelMicrosoft veröffentlicht Windows 10 Build 21276 mit Neuigkeiten und Interessen in der Taskleiste
Nächster ArtikelFortnite Update bringt Unterstützung für externe Controller für iOS und Android

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein