CI/CDパイプラインセキュリティ

継続的インテグレーションおよび継続的デプロイ/デリバリーパイプラインは、効率的なソフトウェア開発ライフサイクルの中核ですが、データスクレイピングや混乱を引き起こそうとする攻撃者にとって主要な標的でもあります。強固なCI/CDパイプラインセキュリティは、オープンソースツールを統合する以上のものです。 npm install あるいは、異なるCI/CDプラットフォームへの移行を検討している場合、コードリポジトリのセキュリティ確保、ビルドサーバーの保護、アーティファクトの安全確保、シークレットのロックダウンに関する包括的な計画を策定する必要があります。

CI/CDプロセスのどの段階におけるセキュリティ脆弱性も、データ侵害、ダウンタイム、および顧客の信頼の低下につながります。

別名

DevSecOps

パイプライン保護

633%

悪意のあるサードパーティコンポーネントを含むサプライチェーン攻撃の前年比増加

出典

Sonatype

58%

の企業が、シークレットの偶発的な漏洩のようなCI/CDツールチェーンの露出を、重大なソフトウェアサプライチェーンリスクとして挙げています。

出典

ReversingLabs

40%

の企業が、過去1年間にCI/CDセキュリティインシデントを経験したことを確認しているか、または、経験していないと自信を持って言えるほどの十分な可視性を持っていません。

出典

Techstrong Research

CI/CDパイプラインセキュリティとその仕組みの例

前述の通り、包括的なCI/CDパイプラインセキュリティの開発は、一度限りの調達とセットアッププロセスではありません。ソフトウェア開発ライフサイクルの単一の領域だけをカバーするものではありません。むしろ、IDEから本番環境に至るまで多くの接点を持つ、テストと自動化プロセスへの包括的なアプローチです。

例えば、CI/CDパイプラインのセキュリティは、ソースコード管理（SCM）システムから始まります。承認されマージされたコードを自動的に本番環境にデプロイできるCI/CD自動化の利点は、信頼できないコードがすり抜けてしまうと、攻撃ベクトルにもなり得ます。GitHub、BitbucketなどのSCMでは、マージ前に複数のレビューを必須とし（自動マージは完全に無効化）、保護されたブランチや署名付きコミットを導入すべきです。各ステップは、CI/CDパイプラインに入る前に攻撃や脆弱性を捕捉する機会を増やします。

それはCI/CDパイプラインの最初の段階に過ぎません。スコープを広げると、攻撃ベクトルは劇的に拡大します。

‍

CI/CDパイプラインセキュリティは開発者にどのように役立ちますか？

心配を減らしてより速く動く

安全なCI/CDパイプラインは、脆弱性を導入したり、認証情報や顧客の個人情報などの機密データを公開したりする絶え間ない恐れなしに、頻繁に変更をプッシュすることを可能にします。

顧客やステークホルダーとのより高い信頼

侵害やデータ損失事故の事後報告書を作成する責任を負いたくないでしょう。最善の準備方法は、リスクを可能な限り最小限に抑えることであり、それはソフトウェアを本番環境にデリバリーする方法から始まります。

規制された分野でのより良いコンプライアンス

GDPRやCCPAのような標準的なコンプライアンス要件に加え、CI/CDセキュリティは、SOC 2、ISO 27001などの業界固有のコンプライアンス要件や自主的な標準において重要な役割を果たします。

迅速にアプリをセキュアに

Aikidoは、コードとクラウドのすべてのセキュリティ問題の概要を即座に提供し、高リスクの脆弱性を迅速にトリアージして修正できるようにします。

無料スタート

CI/CDパイプラインセキュリティの実装：概要

前述の通り、CI/CDパイプラインセキュリティは、多くの段階を経て継続的に改善していくサイクルです。

CI/CDの実装

SCMセキュリティ。これは、コードを変更できるユーザーを制限するためにアクセス制御を実装し、ハードコードされたAPIキーや認証情報がないかリポジトリを定期的にスキャンするものです。

自動テスト（SASTやSCAなど）により、開発プロセスの可能な限り早い段階、理想的にはCI/CDにコードをプッシュする前に脆弱性を特定します。

アーティファクトおよび依存関係スキャンは、オープンソースの依存関係エコシステムをスキャンして既知の脆弱性を検出し、依存するライブラリを最新の安全なバージョンに自動的に更新します。

CI/CDパイプラインプロバイダーへのアクセス制御と認証。多要素認証（MFA）またはエンタープライズグレードのシングルサインオン（SSO）認証を使用して、ログやビルドにアクセスしようとするすべてのユーザーが認証されていることを確認します。

コンテナセキュリティは、MySQLデータベースなどの構築済みコンテナを定期的にスキャンして脆弱性を検出し、コンテナ間のネットワークを可能な限り制限します。

可観測性 CI/CDパイプライン内の関連イベントをキャプチャし、疑わしいものに迅速に対応できるようにします。

インシデント対応計画、およびテーブルトップ演習（TTX）や「火災訓練」シナリオを通じた定期的なテストを実施し、チームが脆弱性の特定、機密データの保護、顧客への通知、適切な（安全な）サービスの迅速な復旧に必要な手順を正確に把握していることを確認します。

CI/CDパイプラインセキュリティに関する困難な真実は、各ステップを適切に実装するには新しいツールとプラットフォームが必要であり、特に開発者にとっては学習曲線と追加の複雑さを伴うということです。
‍
あるいは、Aikidoを使えば、その複雑さをすべてショートカットできます。

Aikido

接続します：GitHub、GitLab、Bitbucket、またはAzure DevOpsアカウント。

スキャンするリポジトリ/クラウド/コンテナを選択します。

数分で優先順位付けされた結果と修正アドバイスを取得します。

効果的なCI/CDパイプラインセキュリティのためのベストプラクティス

ソフトウェアのセキュリティ全般と同様に、基本が開始点となります。CI/CD構成、ビルド、アーティファクト全体にわたるセキュリティ態勢を改善するために、さらに多くの対策を講じることができます。

初めてCI/CDプロバイダーを選択する場合でも、潜在的な移行のためにエコシステムを検証している場合でも、まず、すべてのビルドとテストが、相互汚染を防ぎ、完了後すぐに破棄される一時的で隔離された環境を使用することを主張してください。次に、すべてのパイプラインコンポーネントとプロセスに最小権限の原則を採用し、攻撃者がインフラストラクチャ全体を横断的に移動するのを防ぎます。

最後に、万が一、露出が監視の目をすり抜けた場合に備えて、CI/CDパイプラインを稼働させ続けるアクセス認証情報をローテーションするための、一貫した戦略を実装してください。

無料でCI/CDパイプラインセキュリティを始めましょう。

GitプラットフォームをAikidoに接続することで、CI/CDパイプラインのすべての領域をスキャンし、即座のトリアージ、スマートな優先順位付け、迅速な修正のための的確なコンテキストを得ることができます。

リポジトリとコンテナを無料でスキャンします。

読み取り専用アクセスで60秒以内に初回結果。

SOC2 Type 2 および

ISO27001:2022 認証済み