What is CI/CD Security?

Le pipeline d'intégration et de livraison continues (CI/CD) est chargé de faire passer une application de la validation du code source au déploiement sur les systèmes de production. La sécurité CI/CD tente de détecter les risques potentiels pour la sécurité de application et d'y remédier à toutes les phases du pipeline CI/CD. En déplaçant la sécurité vers la gauche, la sécurité CI/CD réduit le coût et l'impact des failles logicielles et de la vulnérabilité.

Demander une démo Lire Plus

What is CI/CD Security?

Pourquoi la sécurité CI/CD est essentielle

Le pipeline CI/CD est au cœur du succès des méthodologies de conception DevOps. Une fois que le code a été développé et enregistré dans le référentiel, le pipeline le construit automatiquement, le teste et le prépare pour le déploiement en production.

La sécurité du code déployé en production dépend de la sécurité du pipeline CI/CD. Si les cas de test sont incorrects, incomplets ou modifiés, la vulnérabilité peut passer inaperçue. Un code malveillant ou vulnérable peut également être injecté dans une application au cours du processus CI/CD par l'intermédiaire de dépendances tierces. La sécurité CI/CD permet d'atténuer ces risques et d'autres risques de sécurité tout au long du pipeline CI/CD.

Risques de sécurité liés à la CI/CD

Les pipelines CI/CD des entreprises, application, et les processus DevOps sont confrontés à de nombreux risques de sécurité, notamment les suivants :

  • Codage non sécurisé : L'une des principales fonctions du pipeline CI/CD est de tester le code avant son déploiement en production. Cela inclut les tests de sécurité, conçus pour identifier les vulnérabilités dans le code avant qu'elles ne soient exposées à une exploitation potentielle.
  • Contrôles d'accès insuffisants : Le code dans un pipeline CI/CD doit avoir accès à certaines données et ressources pour construire une image fonctionnelle pour les tests. Les contrôles d'accès aux pipelines limitent l'accès aux pipelines à ce qui est nécessaire pour leurs rôles, minimisant ainsi les impacts potentiels si un code malveillant est exécuté dans le pipeline.
  • Mauvaises configurations de sécurité : Le pipeline CI/CD est un environnement complexe composé de différents systèmes. Si ces systèmes sont mal configurés, la sécurité du pipeline peut être compromise.
  • Divulgation de secrets : application peut exiger l'accès à divers types d'informations confidentielles, telles que des mots de passe et des clés API. Par conséquent, ces secrets doivent être accessibles dans les pipelines CI/CD pour les tests. Si ces secrets sont exposés dans le pipeline CI/CD ou les environnements DevOps, ils peuvent permettre à un pirate de voler des données, d'accéder aux systèmes de l'entreprise ou d'ajouter des fonctionnalités malveillantes sur application.
  • Bibliothèques tierces vulnérables : Presque tous les sites application s'appuient sur du code tiers pour mettre en œuvre diverses fonctions. Si ces bibliothèques tierces contiennent des vulnérabilités ou des portes dérobées, application utilisant ces bibliothèques pourrait être exploité par un attaquant.
  • Attaques de la chaîne d'approvisionnement : Dans une attaque de la chaîne d'approvisionnement, un attaquant cible les sources ouvertes et les dépendances de tiers sur lesquelles repose une application. Il peut s'agir de l'ajout de vulnérabilité, de portes dérobées ou d'autres fonctionnalités malveillantes à une application.

Sécuriser le pipeline CI/CD

Les pipelines CI/CD et les sites application avec lesquels ils travaillent sont confrontés à divers risques de sécurité potentiels. Voici quelques solutions qui peuvent être intégrées dans les pipelines CI/CD pour améliorer la sécurité deapplication (AppSec):

  • Analyse de la composition des sources (SCA) : Les solutions SCA identifient les dépendances tierces utilisées par une application et les vulnérabilités potentielles qu'elles contiennent. Cela permet de se protéger contre les codes tiers vulnérables et les attaques de la chaîne d'approvisionnement.
  • Analyse du code source : Les tests statiques de sécurité des applications (SAST) examinent le code source d'une application afin de détecter d'éventuelles vulnérabilités. Les solutions d'analyse de code permettent aux équipes DevOps d'identifier et de corriger les vulnérabilités à un stade précoce du cycle de développement logiciel (SDLC), lorsqu'il est moins coûteux d'y remédier.
  • Tests de sécurité : Pendant la phase de test du SDLC, les solutions de test de sécurité dynamique application (DAST) permettent d'identifier les vulnérabilités dans les fonctions application. Ces tests interviennent plus tard dans le cycle de développement durable, mais ils peuvent permettre d'identifier des problèmes qui ne peuvent être détectés par les solutions SAST.
  • Sécurité de l'exécution : la vulnérabilité peut être négligée lors des tests ou découverte après la mise en production d'une application. Les solutions de sécurité d'exécution telles que l'autoprotection des applications d'exécution (RASP) peuvent assurer une surveillance et une protection continues d'une application après son déploiement en production.

Sécurité CI/CD avec CloudGuard Spectral

La sécurité CI/CD est essentielle à l'AppSec de l'entreprise. Si un attaquant peut obtenir un accès illégitime aux processus CI/CD, il peut potentiellement injecter des vulnérabilités, des fonctionnalités malveillantes ou des erreurs de configuration dans application. Une fois que ces application vulnérables sont déployés en production, ils peuvent mettre l'entreprise et ses clients en danger.

Par ailleurs, un pirate ayant accès aux environnements de développement peut utiliser cet accès pour voler les secrets et autres données sensibles utilisés par l'application tout au long du processus CI/CD. Les informations d'identification, les jetons d'API et autres secrets similaires peuvent compromettre la sécurité de l'ensemble de l'infrastructure informatique et de la suite application d'une organisation s'ils sont exposés à un attaquant en raison d'une vulnérabilité dans le processus de développement du logiciel.

Point de contrôle CloudGuard Spectral offre une sécurité de bout en bout, axée sur les développeurs, pour les pipelines CI/CD.

En savoir plus sur les fonctions de sécurité pour les développeurs de CloudGuard. Découvrez les capacités de Spectral par vous-même en vous inscrivant dès aujourd'hui à une démo gratuite.

×
  Commentaires
Ce site web utilise des cookies à des fins de fonctionnalité, d’analyse et de marketing. En continuant d’utiliser ce site web, vous acceptez l’utilisation des cookies. Pour plus d’informations, consultez notre Avis concernant les cookies.
OK