自動化的持續集成/持續交付(CI/CD)流水線被用來加快開發速度。擁有可以觸發或預定的流水線，可自動接收代碼、合并代碼、構建代碼、測試代碼并自動交付，這真是太棒了。然而，由于這些流水線通常需要訪問互聯網以下載依賴項，并且需要訪問各種機密信息以上傳至生產環境，這意味著一旦這樣的流水線遭到入侵，攻擊者就有很多選擇來破壞您的操作、竊取信息或機密信息。

本文介紹的所有故事都涉及知名的CI/CD工具的違規事件。大多數公司依賴這些工具，這意味著與其他軟件供應鏈攻擊一樣，所有惡意行為者只需攻擊一個目標，就可以獲得廣泛的影響范圍。

接下來，讓我們來看一下過去幾年中幾個突出的故事，展示了這種攻擊向量固有的漏洞。在文章結束時，我將確保提供一些建議來加固和保護您的流水線，無論您使用的是什么工具。

自動化的持續集成/持續交付(CI/CD)流水線被用來加快開發速度。自動觸發或預定的流水線能夠自動接收代碼、合并代碼、構建代碼、測試代碼并自動交付。然而，這些流水線通常以速度和易用性為目標，并不一定會考慮到安全性。由于流水線通常需要訪問互聯網以下載依賴項，并且需要訪問各種機密信息以上傳到生產環境，一旦流水線遭到入侵，攻擊者就有多種選擇來破壞您的操作、竊取信息或機密信息。

本文中介紹的所有故事都描述了著名CI/CD工具遭受的入侵事件。大多數公司依賴這些工具，這意味著與其他軟件供應鏈攻擊一樣，惡意行為者只需攻擊單個目標就能造成廣泛影響。

讓我們回顧一下過去幾年中幾個突出事件，展示了這種攻擊方式的固有漏洞。文章結尾，我將提供一些建議，以加強和保護您的流水線，無論您使用的是哪種工具。

CircleCI的入侵事件

在2023年1月，持續集成和交付平臺CircleCI公開披露了一起安全入侵事件，攻擊者成功未經授權地訪問了公司的基礎設施。攻擊是由一封釣魚郵件發起的，欺騙了一名員工以分享他們的憑據，攻擊者利用這些憑據訪問了公司的系統。該員工使用了雙重認證，但攻擊者在員工登錄系統后抓取了一個會話Cookie，使他們能夠冒充該員工，并最終升級訪問了CircleCI的一部分生產系統。

攻擊者訪問了一些客戶數據，包括姓名、郵箱地址和賬單信息。公司報告稱沒有訪問到任何代碼或知識產權，并且沒有客戶報告到他們賬戶或數據的任何未經授權的訪問。

CircleCI迅速做出了應對，展開了調查，并與執法部門和網絡安全專家合作，確定了攻擊的范圍，并修復了導致攻擊發生的漏洞。該公司還重置了所有員工和客戶的憑據，并實施了其他安全措施，例如加強系統的監控。

DevOps受到干擾：Argo CD的安全入侵事件

Argo CD是一款用于將應用程序持續部署到Kubernetes集群的熱門開源工具。2022年2月，發現了Argo CD中的一個新漏洞，該漏洞允許未經身份驗證的用戶訪問由該工具管理的Kubernetes應用程序的敏感信息。該漏洞是由Argo CD的API服務器配置錯誤引起的，該錯誤允許未經授權的用戶執行API請求并檢索諸如密鑰、配置和應用程序元數據等信息。只要攻擊者有權限創建或更新應用程序并知道或能夠猜測包含有效YAML的文件的完整路徑，他們就可以創建惡意的Helm圖表，并繼續在值中使用YAML文件，直到找到通常不可訪問的重要數據。

此漏洞被評定為CVSS分數7.5(高危)，影響著包括2.1.4版本在內的Argo CD的所有版本。Argo CD在2.1.5版本中發布了針對該漏洞的補丁，建議用戶盡快升級到該版本。

此漏洞被認為特別令人擔憂，因為Argo CD通常用于管理生產環境中的關鍵應用程序和基礎架構。敏感信息的泄漏可能允許攻擊者訪問敏感數據或采取其他惡意行動，從而影響應用程序的可用性或安全性。

解開Codecov入侵的謎團：經驗教訓

Codecov是一款用于跟蹤和分析代碼覆蓋率的工具，用于CI/CD流水線中，使開發人員能夠衡量和分析他們的測試的有效性。根據Codecov的安全更新所述：

“2021年4月1日星期四，我們得知有人未經我們的許可，未經授權地訪問了我們的Bash Uploader腳本，并進行了修改。攻擊者之所以能夠獲得訪問權限，是因為Codecov的Docker鏡像創建過程中存在的錯誤，導致攻擊者能夠提取修改我們的Bash Uploader腳本所需的憑證。”

Bash Uploader由客戶用于將他們的代碼覆蓋率報告上傳到Codecov平臺。使用這種訪問權限，攻擊者修改了Bash上傳腳本，添加了惡意代碼，該代碼可以在上傳過程中從用戶系統中收集環境變量、驗證令牌和其他敏感數據。然后，這些數據被發送到攻擊者控制的遠程服務器。

Codecov確認該入侵事件影響了大約1%的客戶群體，其中包括技術、金融和醫療保健行業的重要公司。該公司確認，在入侵期間沒有更改任何客戶代碼或代碼覆蓋率報告，但用戶驗證令牌和其他敏感信息可能已受到威脅。

Codecov立即采取行動刪除了惡意代碼，并提醒受影響的客戶重置其驗證令牌并采取其他安全措施。該公司還展開了對這一事件的調查，并與執法部門和網絡安全專家合作，確定了攻擊的來源。

如何保護您的流水線?

如上所述，CI/CD流水線是為了速度和自動化而構建的，并不一定在設計時考慮到安全性。三家大型知名公司都遭受了某種類型的攻擊，可能導致客戶信息曝光，這表明您自己的流水線和數據的漏洞性。

無論您使用的是何種工具或CI/CD平臺，您可以采取一些措施來提高安全性并在惡意攻擊者成功訪問流水線或網絡時減少潛在的損害。

威脅建模：威脅建模是一種結構化的方法，用于識別對系統或應用程序可能構成的安全威脅，并設計相應的對策來減輕這些威脅。作為一種練習，假設有人入侵了您的流水線。他們現在可以訪問哪些環境?他們可以看到和使用哪些密鑰?他們可以修改您的代碼嗎?影響測試嗎?從web上提取文件或運行逆向shell嗎?即使您認為已對流水線進行了清理并正確分割了網絡訪問權限，勾起一下惡意行為的想象力，然后檢查一下，以便您了解最糟糕的情況。您可能會驚訝地發現您的流水線平臺或工具中隱藏著哪些在明顯情況下的開放密鑰和訪問選項。

網絡分割：網絡分割是將較大的網絡劃分為更小、更安全的子網絡或段的實踐，每個子網絡或段都有自己的安全控制和策略。網絡分割的目的是通過限制潛在安全入侵的范圍并將攻擊的潛在影響最小化來增加整體網絡的安全性。將網絡分割成較小的段限制了攻擊者的橫向移動，并降低了未經授權的訪問或數據泄漏的風險。

伴隨著釣魚攻擊日益普及，您的開發人員或其他員工可能成為此類騙局的受害者，畢竟我們都是人類。假設您的開發人員的憑據可能會被惡意行為者利用，這意味著您需要確保絕大多數開發人員不具備足夠的權限，使他們能夠單獨地竊取機密信息、向生產鏡像中加入惡意代碼、或者只需推送自己版本的生產代碼而無人可阻攔。確保每個人只具備完成工作所需的最低限度的權限是一項耗時的工作，讓每個人都擁有管理員權限并就此作罷是非常誘人的。不要被黑暗面所吸引 - 遵循最小權限和零信任原則。

監控和警報：繼續上述內容，即使對開發人員進行了深入的訓練，以提高他們防范網絡釣魚和其他社會工程攻擊的意識，安全入侵仍然可能發生。您并不知道何時或以何種方式發生入侵，但您應該做好隨時發現的準備。由于大多數流水線環境是臨時的，這意味著一旦工作完成，除非您自己創建這些跡象，否則不會留下爭論發生的證據。

確保對流水線中發生的所有事情進行記錄，包括每次PR、合并、構建和測試。確保用戶信息也被記錄下來，以便在需要時進行審查。對配置文件或環境本身的任何更改也應記錄下來。目標是能夠對入侵進行清晰的事后調查。事先確定哪些事件應產生警報，并確保正確的人員接收到這些警報。注意不要洪水般地發送無用或錯誤的警報 - 這會導致人們因接收到無用或錯誤的警報而忽略它們，或在推遲處理時故意忽略警報。顯然，這些日志中不應包含任何開放密鑰或密碼 - 這導致下一個重點：

密鑰管理：確保使用某種密鑰管理工具。至少，這將使您能夠在發生入侵時更容易輪換密鑰和密碼。還應該做一些工作，將在系統上進行的任何記錄中的流數據和訪問密鑰屏蔽。任何未經授權的人員都不應該能夠訪問這些信息，他們絕對不應該能夠更改它們。

隨著組織越來越多地依賴基于云的服務、容器化應用程序和其他分布式環境，這些環境要求在不同的系統和應用程序之間安全共享和管理密鑰，因此加強密鑰管理變得日益重要。

結合最小權限的RBAC原則：基于角色的訪問控制(Role-Based Access Control，RBAC)的原則是根據用戶在組織中的分配角色或工作職責來授予他們對系統資源的訪問權限。在RBAC中，用戶被分配角色，該角色定義了他們對各種系統資源(如文件、文件夾或應用程序)的權限和訪問權。另一方面，最小權限的原則是授予用戶至少權限和訪問特權，以執行他們的工作職能所需的最低級別。這意味著用戶只能訪問他們完成特定任務所需的資源，并且沒有其他權限。RBAC和最小權限原則通常一起作為互補的安全原則使用。在RBAC中，用戶被分配的角色具有訪問所需資源的適當級別，最小權限原則確保用戶只能訪問執行特定任務所需的最低級別的資源。

這兩個原則共同有助于維護一個安全且良好管理的系統，風險最小，未經授權的訪問或數據泄漏的風險較小。作為額外的安全措施，您還可以設置特定系統關鍵操作需要多個用戶授權的機制。需要注意的是，由于這種做法可能會顯著降低開發工作速度，因此應謹慎使用。但對于關鍵更新，例如刪除主要分支或修改依賴關系列表，至少需要兩個擁有適當訪問權限的人批準該更新。

展望未來

沒有人會停止使用CI/CD和其他自動化工具來加快工作進程。我們生活在一個不斷追求更快代碼更新的世界中。我們只需要確保以安全意識的方式進行，并不會在追求速度的同時危及我們的代碼和生產環境。

您可以做的最重要的事情之一就是認真思考，未經授權的人員如果獲取了訪問權限會發生什么。一旦您意識到危險和流水線和網絡中的不同薄弱點，相信您能夠采取正確的步驟來彌補潛在的漏洞。