「CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments」を理解する
Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environmentsの概要
発表日:2023 年 6 月 28 日
CISA と NSA が継続的インテグレーション/継続的デリバリー (CI/CD) 環境の防御に関する共同ガイダンスをリリース
https://www.cisa.gov/news-events/alerts/2023/06/28/cisa-and-nsa-release-joint-guidance-defending-continuous-integrationcontinuous-delivery-cicd
下記の通り、CI/CDの脅威やアタックサーフェースの抽出、それらに基づく脅威シナリオ、及び、認証・開発環境・開発プロセスの緩和策が記載されている。
CI/CD security threats
Attack surface
Threat scenarios
シナリオ1. 攻撃者が認証情報を取得しアクセスする
シナリオ2. CI/CD パイプライン内のアプリケーション ライブラリ、ツール、またはコンテナ イメージのサプライ チェーンの侵害され、汚染される。
シナリオ3. CI/CD 環境のサプライ チェーン侵害。1) CI/CD 構成の変更、2) IaC 構成へのコードの挿入、3) ソース コードへのコードの挿入、または 4) 悪意のある依存関係または脆弱な依存関係の挿入。Active hardening
Authentication and access mitigations
Development environment mitigations
Development process mitigations
気付き
開発環境やプロセスの中で、SBOMとも関わりがあることが認識できた。
この記事が気に入ったらサポートをしてみませんか?