Dieser Vortrag wird auf Deutsch gehalten. / This Talk will be held in German.
Ein zentrales Ziel von Angreifern kann heutzutage die CI/CD-Pipeline sein, denn wer es schafft, Code in der Pipeline auszuführen, der kontrolliert den Weg in die Produktivumgebung.
Die eigene Pipeline und den SDLC korrekt abzusichern, ist allerdings etwas schwieriger, als man auf den ersten Blick denken mag. Dazu gehören etwa die Pipeline-Definitionen selbst (z.B. ungenutzte Secrets), Access-Tokens mit zu großen Berechtigungen, fremde Pipeline-Komponenten, die blind genutzt werden, oder auch fehlende Branch- und Environment-Berechtigungen.
Dies sind nur einige wenige Beispiele von Einfallstoren. Doch es gibt noch einige mehr. Häufig wird nämlich nur ein kleiner Ausschnitt betrachtet: die verwendeten Dependencies der Anwendung selbst. Andere Aspekte bleiben dabei auf der Strecke.
Dieser Vortrag zeigt auf, welche Einfallstore es geben kann, wie man diese absichern kann und was man beachten sollte, selbst wenn man kein Security-Experte ist.
- CI/CD-Grundlagen
- Nach diesem Vortrag kennen die Teilnehmenden die wichtigsten Angriffsvektoren auf CI/CD-Pipelines.
- Sie können typische Schwachstellen wie einsehbare Secrets, Tokens mit zu vielen Berechtigungen und fehlende Branch- bzw. Environment-Protections erkennen.
- Sie sind in der Lage, die Risiken beim Einsatz fremder Pipeline-Komponenten einzuschätzen.
- Außerdem lernen sie die ersten Schritte, wie sie ihre Pipeline auch ohne tiefe Security-Expertise gezielt absichern können.
Sujeevan Vijayakumaran
ist Experte für DevOps mit langjähriger Erfahrung in der Softwareentwicklung und technischen Beratung. Er unterstützt Unternehmen dabei, sowohl die kulturellen Aspekte von DevOps als auch die zugrunde liegenden technischen Prozesse erfolgreich zu gestalten und umzusetzen. Er ist zudem Autor mehrerer Fachbücher rund um Git und DevOps.