Bezpečnost CI/CD

Posted on by Simona Česaná
Bezpečnost CI/CD

Proč je bezpečnost CI/CD kritická

CI/CD (Continuous Integration/Continuous Delivery/Deployment) akceleruje vývoj, ale zároveň otevírá nové vektory útoku: neověřené kódové změny, závislosti třetích stran, kompromitované build servery, exfiltrace tajemství, otrávené artefakty nebo zneužití oprávnění v cloudu. Bezpečnostní strategie pro CI/CD musí proto zahrnovat řízení identity a přístupu, zajištění integrity buildů, správu tajemství, odolné artefaktové řetězce, politiky nasazení a průběžné ověřování (SAST/SCA/DAST/IaC/K8s). Cílem je dosáhnout důvěryhodné pipeline, kde je každá změna auditovatelná, reprodukovatelná a prokazatelně podepsaná.

Rámce a standardy: SSDF, SLSA a zásady supply chain

  • NIST SSDF (Secure Software Development Framework) – procesní rámec pro bezpečný vývoj a pipeline (požadavky, ověřování, audit).
  • SLSA (Supply-chain Levels for Software Artifacts) – úrovně důvěry (1–4) pro buildy, provenance a ověřování artefaktů.
  • SBOM – katalog závislostí (SPDX, CycloneDX) generovaný v CI a přiložený k release.
  • Compliance – mapování na ISO 27001, SOC 2, PCI DSS či odvětvové regulace.

Threat modeling CI/CD: kde jsou největší rizika

  • Kód a revize – nedostatečné code review, slabá pravidla pro větve a PR z forků.
  • Runnery a build stroje – sdílené či trvale běžící instance, zneužitelné cache, přístup do interních sítí.
  • Tajemství a konfigurace – únik v logu, artefaktu nebo přes PR z neznámé identity.
  • Závislosti a akce – „latest“ tagy akčních kroků, dependency confusion, typosquatting v registru balíčků.
  • Artefakty a registry – otrávení binárek, nahrazení imagí, chybějící podpisy a politiky přijetí.

Řízení identity a přístupu (IAM) v CI/CD

  • Least privilege – pipeline, kroky a runnery mají jen nezbytná oprávnění; oddělit čtení/zápis do registrů a cloudových účtů.
  • Krátkodobé identity – OIDC federace z CI do cloudu (AWS/GCP/Azure) místo dlouhodobých klíčů.
  • Schvalování a SoD – separace povinností (člověk, který merguje, nenasazuje; dvoučlenné schválení pro produkci).
  • 2FA a podpis commitů – vyžadovat 2FA u SCM a GPG/Sigstore podpisy pro commity a tagy.

Ochrana repozitářů a větví

  • Branch protection – vyžadovat review, status checks, zákaz force-push, povinné testy a skeny před merge.
  • PR z forků – spouštět pouze „bezpečné“ joby bez tajemství; citlivé kroky (nasazení, publikace) spouštět až po merge.
  • CODEOWNERS – povinné schvalování doménovými experty pro kritické cesty (build skripty, Dockerfile, IaC).

Bezpečnost pipeline jako kódu

  • Pinování kroků – akce a pluginy pinovat na commit SHA, ne na latest; verze auditovat.
  • Reusability – centrální knihovna schválených workflow/šablon, které procházejí bezpečnostní revizí.
  • Policy as Code – OPA/Conftest/Semgrep policy gate: zákaz nebezpečných kroků (curl|bash), povinné skeny, podpisy, sběr SBOM.

Tajemství a citlivá data v CI/CD

  • Vault/Secrets Manager – dynamická pověření s krátkým TTL; rotace klíčů automaticky.
  • Masking a redakce – maskovat citlivé hodnoty v logu, zakázat echo tajemství; artefakty šifrovat.
  • Per-Env tajemství – oddělit dev/test/prod; audit přístupů a schválení pro produkční proměnné.

Build prostředí: hermetické a reprodukovatelné

  • Hermetic builds – zákaz neřízeného internetu během buildu; používání interních mirrorů a registrů.
  • Reproducibility – pinování verzí, zamčené lockfile, deterministická kompilace a časová razítka.
  • Ephemeral runnery – jednorázové build stroje bez perzistentní cache; při potřebě cache používat izolované a podepsané.

Container security v pipeline

  • Trusted base images – pouze z interního registry; pravidelné rebuildy proti novým CVE.
  • Image scanning – sken závislostí (OS i aplikace), zákaz release při kritických CVE bez výjimek.
  • Podpisy a attestace – podepisovat obrazy (Sigstore/Cosign), generovat SLSA provenance; ověřovat v admission kontroleru.

Artefaktové řetězce a registry

  • Privátní registry – oddělené role pro čtení/zápis; auditní logy a WORM retenční politiky pro release.
  • Integrity – kryptografické podpisy a in-toto attestace; kontrola při nasazení (admission policy).
  • Promotion model – artefakty se „povýší“ z dev→staging→prod bez rekompilace; jeden původ pro audit.

Skenování kódu a konfigurací v CI

  • SAST/Semgrep/Bandit – statická analýza při PR; blokace kritických nálezů.
  • SCA/Dependency review – audit třetích stran, zákaz licencí mimo politiku, auto PR pro bezpečné aktualizace.
  • IaC scanning – Terraform/CloudFormation/K8s šablony proti baseline (CIS, vlastní pravidla).
  • DAST/IAST – dynamické testy na preview prostředích; fuzzing klíčových API.
  • Secrets scanning – gitleaks/trufflehog v pre-commit a v CI; automatická revokace uniklých klíčů.

Bezpečné nasazení: gates, schválení a GitOps

  • Protected environments – nasazení do staging/prod vyžaduje explicitní schválení; auditovatelné release.
  • GitOps – deklarativní stav v repozitáři; kontinuální reconciliace a RBAC přes SCM.
  • Canary/Blue-Green – postupná expozice, automatický rollback na základě metrik (SLO/SLI).

Kubernetes admission politika

  • OPA Gatekeeper/Kyverno – vynucení podpisů imagí, zákaz :latest, omezení privilegií, resource limity.
  • Runtime security – seccomp/AppArmor, pod security policy, read-only root FS, žádné privileged.
  • Network policy – „deny by default“ egress/ingress; oddělení CI agentů od produkce.

Provozní bezpečnost CI infrastruktury

  • Segmentace sítě – runnery v izolované VLAN/NSG; egress allowlist jen na registry a mirrory.
  • Aktualizace a hardening – pravidelné patchování orchestrátoru CI, runnerů a agentů.
  • Monitoring – metriky front, doby běhu jobů, anomální egress, selhání podpisů a skenů.

Logování, audit a forenzní připravenost

  • Tamper-evident logy – centralizace, WORM/immutable storage, dlouhá retence pro vyšetřování.
  • Traceability – vazba commit → build → SBOM → podpis → release → nasazení (end-to-end trail).
  • IR runbooky – postupy pro kompromitaci pipeline (revokace klíčů, invalidace artefaktů, audit zásahů).

Licenční a právní aspekty

  • Policy licencí – povolené/zakázané licence; automatické reporty v release.
  • Export/Compliance – evidence kryptografie a komponent pro dodavatelské řetězce.

Metriky a KPI bezpečného CI/CD

  • Lead/lag metriky – % artefaktů s podpisem, pokrytí SBOM, doba záplaty kritických CVE, míra pinovaných kroků.
  • Quality gates – podíl PR blokovaných bezpečností, úspěšnost skenů bez kritických nálezů, MTTR na incident v pipeline.

Typické chyby a jak se jim vyhnout

  • „latest“ všude – kroky, image i závislosti musí být pinované; jinak nelze reprodukovat.
  • Tajemství v logu – povinný masking a zákaz set -x u shellů s credy.
  • Spouštění neověřeného kódu s tajemstvími – PR z forků bez přístupu k tajemstvím; schválení po merge.
  • Sdílené persistentní runnery – přejít na ephemeral; čistit cache a workspace.
  • Chybějící podpisy – bez kryptografických podpisů a attestací nelze ověřit původ.

Kontrolní seznam před releasem

  • Code review s CODEOWNERS a povinnými testy, SAST/SCA/Secrets/IaC skeny bez kritických nálezů.
  • Hermetický build, pinované verze, generovaný SBOM.
  • Artefakty a image podepsané (Cosign), uloženy v privátním registru s audit logy.
  • Deployment gate: schválení, canary a automatický rollback.
  • Admission politika v clusterech vynucuje podpisy a baseline.

Roadmapa zlepšování (0–30–90–180 dní)

  • 0–30 dní – zavést 2FA a branch protection, pinovat akce, aktivovat SAST/SCA/Secrets scanning, oddělit PR z forků od tajemství.
  • 30–90 dní – OIDC do cloudu, Vault pro tajemství, hermetické buildy s interními registry, generovat SBOM a základní podpisy.
  • 90–180 dní – SLSA provenance, Cosign verifikace při nasazení, Gatekeeper/Kyverno politiky, GitOps s promotion bez rekompilace, WORM logy a IR cvičení.

Závěr

Bezpečnost CI/CD je soustavná disciplína: vyžaduje kombinaci procesních opatření (review, schválení, SoD), technických kontrol (pinování, skenování, podpisy, hermetičnost), odolné infrastruktury (ephemeral runnery, segmentace, registr s auditem) a měřitelných politik (policy as code, KPI). Organizace, které zavedou SLSA/SSDF principy, přijmou GitOps, ověří původ artefaktů a zautomatizují bezpečnostní kontroly v celé pipeline, získají dovednost doručovat software rychle a přitom důvěryhodně.

Related Posts

výskum trhu

Výskum trhu a jeho Význam v Oblasti Transportu Výskum trhu v oblasti transportu predstavuje kľúčový nástroj pre podniky, ktoré chcú úspešne pôsobiť v konkurenčnom prostredí. […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *