Continuous Integration (CI) Systeme, die oft auch gleichzeitig für ein Continuous Deployment (CD) eingesetzt werden, sind heutzutage unersetzliche Helfer für die meisten Softwareentwickler:innen. Richtig eingesetzt können sie dank der Ermöglichung von vielfältiger Security-Automatisierung auch einiges zur Sicherheit des Endproduktes beitragen.
Allerdings wird oft übersehen, welche große Macht ein CI/CD System in der eigenen Infrastruktur besitzt. Dank lesendem und schreibenden Zugriff auf den Quellcode und die Build-Artefakte einer Applikation, und oftmals auch administrativem Zugang zur Infrastruktur, haben diese viel Macht. Damit gehen leider auch eine große Zahl substanzieller Risiken einher und das System wird zu einem beliebten Angriffsziel.
Unsere Leistung
Wir führen ein eintägiges Interview durch, bei dem die Architektur, die Konfiguration und die gelebten Prozesse des eingesetzten CI/CD Systems kritisch beleuchtet werden. Besonderes Augenmerk wird dabei auf die Interaktion der unterschiedlichen Komponenten (Code Repository, Secret Management, Container Registry, Artefakt Repository, Runner, Container Runtime, …) gelegt, da hier erfahrungsgemäß die relevantesten Risiken versteckt liegen.
Das Audit orientiert sich an den aktuellen OWASP Top 10 CI/CD Security Risks, die einen guten Überblick über die unterschiedlichen Bedrohungskategorien bieten und Industrieweit anerkannt sind. Die gestellten Fragen sind sowohl allgemeiner Natur als auch spezifisch auf das eingesetzte Tooling angepasst.
Die Ergebnisse werden in einem schriftlichen Endbericht festgehalten. Dieser beinhaltet unter anderem eine Management Summary, welche die Ergebnisse verständlich zusammenfasst und das Gesamtrisiko aufzeigt. Außerdem werden die Schwachstellen technisch detailliert beschrieben, systematisch bewertet und Gegenmaßnahmen vorgeschlagen.
Optional kann das Audit noch um einen kurzen Penetrationstest des CI/CD Systems ergänzt werden, bei dem die im Audit getätigten Aussagen auch stichprobenartig dynamisch verifiziert werden können.
