OWASP CI/CD 十大安全风险

CI/CD环境、流程和系统是现代软件组织的重要组成部分。它们将开发人员工作站的源代码上传到软件产品代码库。随着DevOps和微服务架构的兴起，CI/CD系统和流程已重塑软件工程生态系统。这些特性使得软件交付更快、更灵活、更多样化。

然而，它们也同时重塑了攻击面，为攻击者提供了大量的新途径和新机会来获取组织的核心资产。由于滥用CI/CD系统缺陷，各行业遭受安全事件和网络攻击的数量、频率和规模正大幅提升。为了在最佳安全和快速交付之间寻求适当的平衡，安全团队正在寻找最佳安全控制措施，以便在不影响安全的情况下实现软件产品的敏捷交付。

通过对CI/CD相关攻击向量，以及被重点关注的攻击事件和安全漏洞进行广泛研究，整理形成本文档，旨在帮助防御者确定其CI/CD生态系统安全的重点领域。所有安全风险的描述都遵循以下结构：

定义：对风险性质的简明定义。

描述：对背景和攻击动机的详细解释。

影响：围绕风险实现可能对组织产生的潜在影响的详细信息。

建议：一组用于优化组织CI/CD安全风险态势的控制措施与建议。

参考：有关安全风险被利用的真实案例和范例列表。

CICD-SEC-1:不足的流程控制机制

CICD-SEC-2:不当的身份识别和访问管理

CICD-SEC-3:依赖链滥用

CICD-SEC-4:管道投毒执行

CICD-SEC-5:基于流水线的访问控制不足

CICD-SEC-6:凭据清理不足

CICD-SEC-7:不安全的系统配置

CICD-SEC-8:第三方服务的不受控使用

CICD-SEC-9:不正确的工件完整性验证

CICD-SEC-10:日志记录和可见性不足

作者：

Daniel Krivelevich、Omer Gil

中文项目人员：

蒋承、王颉、肖文棣、杨文元、张丽、赵学文

（按姓氏拼音排列）

文档下载：

中文:OWASP CI/CD 十大安全风险