CI/CD管道 是现代工作流程的组成部分，也是支持它们的工具进一步扩展其潜在功能。在现代工作流程中，团队合作至关重要，因为截止日期不仅紧迫，而且定期。当客户在另一端等待时，每一秒都很重要。因此，讨论 CI/CD 的最佳起点是这些工具可以帮助您完成的任务。 

什么是 CI/CD？ 

从本质上讲，CI/CD 环境提供的工具可以让软件更快上线并简化构建和发布流程。历史上，代码是由不同的团队开发并在个人环境中进行测试的；集成需要时间，而对损坏代码的反馈则需要更长的时间。这会导致构建周期过长并降低效率。通常的做法是使用开发前设计的一定数量的测试用例来测试一段代码。如果最终代码满足这些标准，它应该很容易集成到现有代码中。  

但作为开发人员，我们都知道，即使使用精心设计的测试用例，这也远不是唯一可能的结果。CI/CD 提供了一种大规模执行测试用例的方法，其中可以通过单个简化且自动化的操作来测试代码更改。代码被推送、由管道接收并进行测试，如果所有情况都通过，则可以将构建设置为上线。这对提高组织的敏捷性有着令人惊奇的作用。

立即修复错误很可能是开发的未来。然而，在全行业采用 CI/CD 工作流程之前，需要考虑一些重要的考虑因素，我们现在看到了在没有适当的审查、测试、安全性甚至不了解集成如何工作的情况下急于采用新技术的后果。

科技领域的现代危险之一是盲人给盲人带路。非专家可以访问与专家相同的互联网，并经常编写教程和指南。人工智能，一个真正有趣且有用的创造物在某种程度上放大了这个问题。ChatGPT 以其经常具有权威性的语气和明显的自信，甚至可能具有魅力，真正令一些人信服。但它从更大的互联网资源库中获取信息，因此同样容易只了解一半的情况。虽然下面的故事并不是为了推销，但请务必考虑让网络安全咨询公司参与架构设计的好处，这样在引入新的强大技术时就不会错过大局。 

最近的攻击 

今天我们重点关注两位研究人员开发的特定攻击。此攻击针对GitHub actions CI/CD平台，特别是自托管运行程序。自托管运行器有很多好处，其中之一是它们在功能和选项方面提供了更大的灵活性。虽然攻击主要集中在公共 GitHub 存储库，但这些攻击在行业中并不罕见，即使您的组织没有托管公共存储库，您的产品也可能依赖于一个或多个公共存储库。

虽然主要攻击针对的是 GitHub 操作，但在业界使用的多个 CI/CD 平台上也发现了类似的漏洞；Jenkins、Circle CI、Buildkite 等。由于这次攻击主要针对公共存储库，因此如果是恶意的，其理论上的后果可能会波及广泛。更复杂的是，这些漏洞部分是由于错误的默认设置造成的。  

要实施攻击，必须首先获得贡献者的身份。人们可能会认为这是一个崇高的目标，尤其是对于一个享有盛誉的大型项目。但获得这一地位的研究人员所需要的只是纠正一个拼写错误。有了这种状态，他们就可以发起拉取请求。当然，任何人都可以在公共存储库上发起分叉拉取请求，但是当贡献者发出拉取请求时，根据默认设置，他们将能够使用附加到主项目的运行器。在收到合并批准之前，这将根据这些默认设置发生。如果分叉中包含恶意工作流程，它将由运行程序执行。

运行者会保留在他们运行的机器上，因此该代码可以继续影响未来的构建，并在机器的后台不间断地运行。基本上可以使运行程序充当攻击者的特洛伊木马。如果运行器在计算机上具有提升的状态（这是标准要求），则机器不会识别或标记其可疑活动。然后，密钥记录可以收集身份验证令牌，整个过程就可以被劫持。身份验证令牌允许完全访问存储库，攻击者可以从那里做任何他们想做的事情。 

比以如此明显的方式劫持公共项目更加阴险的是滥用持久运行程序来默默地影响未来的构建。这些存储库被广泛使用，其中一个存储库 pytorch 作为该项目的一部分受到直接攻击，在机器学习领域拥有 21% 的市场份额。想象一下可能受到攻击影响的项目、公司和软件的数量。更不用说，由于现代项目典型的长依赖链，您的组织甚至可能没有意识到它们依赖于具有已知妥协的项目。在这种情况下，我们很幸运，目前攻击者是对造成伤害不感兴趣的研究人员，但现在是检查您的组织用于 CI/CD 的流程和工具以及您的任何依赖项是否仍然容易受到攻击的好时机对于这种攻击方法。 

结论 

攻击很难跟踪，尤其是在当今时代，在造成损害之前很难确定妥协的范围。如果您的组织使用 CI/CD 并需要有关如何保护管道和防止攻击的信息，请联系揽阁信息。

我们提供基于FIPS 140-2和CC认证的USB Token（令牌/U盾）、SmartCard（智能卡）、HSM（硬件安全模块/加密机/密码机）可为您的数字证书进行安全保障。

我们提供的OTP（动态口令令牌）、FIDO 2令牌等，也是您身份认证的另一种选择。

除此之外，我们还提供统一身份认证平台，以便于您对各类系统进行简单部署对接，并为各种身份认证终端进行集中统一管理。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• DORA还有一年！金融服务提高多云网络安全和弹性的主要建议

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• Thales 2023年数据威胁报告：5G时代电信网络安全挑战加剧

• 可持续增长需要强大的网络安全：原因如下