A Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Agência de Segurança Nacional (NSA) publicaram orientações sobre como as organizações podem proteger pipelines de integração contínua e entrega contínua (CI/CD) contra ataques mal-intencionados.
O documento (PDF) inclui recomendações e práticas recomendadas para fortalecer implantações de nuvem CI/CD e melhorar as defesas de desenvolvimento, segurança e operações (DevSecOps).
Um processo de desenvolvimento para criar e testar alterações de código, o CI/CD é visto como uma parte fundamental do DevSecOps, integrando automação e segurança no ciclo de vida do desenvolvimento.
A crescente adoção da nuvem levou à implementação de pipelines de CI/CD em ambientes de nuvem comercial, tornando-os um alvo atraente para agentes de ameaças que procuram injetar código malicioso em aplicativos de CI/CD, roubar informações confidenciais ou causar negação de serviço ( DoS).
Ameaças de segurança para ambientes de CI/CD, CISA e a nota da NSA, incluem código inseguro próprio e de terceiros, execução de pipeline envenenada, controles de acesso de pipeline insuficientes, configurações de sistema inseguras, uso de serviços de terceiros inseguros e exposição de segredos .
Atores de ameaças maliciosas podem explorar vulnerabilidades de CI/CD introduzidas por código inseguro, podem manipular o processo de compilação comprometendo repositórios de gerenciamento de código-fonte, podem explorar a falta de controles de acesso ou configurações incorretas para girar em um pipeline de CI/CD e podem introduzir deficiências de segurança por meio de o uso indevido de serviços de terceiros.
Para proteger ambientes, as organizações são aconselhadas a usar algoritmos criptográficos fortes em aplicativos e serviços em nuvem, usar credenciais fortes, adicionar assinaturas a configurações de CI/CD, usar regras de duas pessoas (2PR) para todas as atualizações de código, implementar políticas de privilégio mínimo, implementar segmentação de rede e auditoria e segredos seguros e credenciais de usuário.
Ademais, as duas agências recomendam a atualização de sistemas operacionais, software e ferramentas de CI/CD, remoção de aplicativos desnecessários, uso de ferramentas de detecção de malware, integração de verificação de segurança como parte do pipeline de CI/CD, restrição do uso de código não confiável, análise de código comprometido, removendo recursos temporários e implementando lista de materiais de software (SBOM) e análise de composição de software (SCA).
“A NSA e a CISA incentivam as organizações a implementar as mitigações propostas para fortalecer seus ambientes de CI/CD e reforçar o DevSecOps organizacional. Ao implementar as mitigações propostas, as organizações podem reduzir o número de vetores de exploração em seus ambientes de CI/CD e criar um ambiente desafiador para o adversário penetrar”, observam as duas agências.
: