CI/CD : Nécessaire pour le développement de logiciels modernes, mais il comporte beaucoup de risques
SCSW CI/CD au cours de la dernière décennie est devenu la pierre angulaire du développement de logiciels modernes.
Le terme d’intégration continue et de livraison continue (parfois le « D » peut également signifier « déploiement ») est apparu à la fin des années 2000 avec l’essor de DevOps, définissant un moyen de créer et de mettre à jour plus rapidement des applications en s’appuyant fortement sur l’automatisation pour tout, de de la construction aux tests en passant par le déploiement de systèmes, en rassemblant les contributions d’une myriade de contributeurs dans un pipeline et en accélérant les cycles de publication.
Le logiciel n’est plus créé par un seul développeur sur une seule machine ; au lieu de cela, les développeurs utilisant des outils disparates peuvent contribuer à la construction dans le pipeline sans provoquer de conflit. Les organisations n’ont pas à attendre que les mises à jour logicielles soient regroupées en un seul grand lot à publier à une heure définie et les mises à jour et les améliorations peuvent être diffusées dès qu’elles sont prêtes.
Les versions sont standardisées, la sécurité passe de ressources partagées à des ressources de plus en plus isolées et des vérifications peuvent être effectuées à chaque modification, et la valeur est plus rapidement fournie, affirme-t-on. Avec CI/CD est venu une plus grande dépendance à l’automatisation et à l’infrastructure en tant que code (IaC), plus de tiers impliqués, et de nouveaux cadres et langages devenant rapidement adoptés.
Avec la vitesse vient le risque
Cela dit, la même vitesse qui provient d’un pipeline CI/CD partagé rationalisé et automatisé peut également le rendre très attrayant pour les malfaiteurs en ligne.
« Aujourd’hui, CI/CD est l’endroit où le code d’application, les outils de construction, les composants tiers, les secrets, les identités et même les ressources cloud se rejoignent », a déclaré Adrian Diglio, responsable principal du programme de la chaîne d’approvisionnement logicielle sécurisée (S3C) chez Microsoft. Le registre.
« L’adoption du CI/CD se développe à la vitesse de la vitesse des fonctionnalités et ces pipelines interconnectés dépassent la maturité organisationnelle et leur capacité à assurer leur sécurité. Cela fait du CI/CD une cible de choix pour les attaquants. »
CI/CD est l’endroit où le code d’application, les outils de construction, les composants tiers, les secrets, les identités et même les ressources cloud se rejoignent
CI/CD élargit la surface d’attaque et les intrus sont devenus doués pour exploiter ces systèmes pour attaquer la chaîne d’approvisionnement logicielle, comme l’a prouvé le fiasco très médiatisé de SolarWinds en 2020. Dans ce cas, le groupe Nobelium, lié à la Russie, a compromis le fabricant de la suite logicielle informatique. processus de construction et inséré du code malveillant dans les applications qui sont ensuite passées en amont aux utilisateurs.
Palo Alto Networks a écrit en décembre 2022 que le nombre d’attaques de la chaîne d’approvisionnement au cours de l’année précédente avait bondi de 51 %. Les pipelines CI/CD sont particulièrement vulnérables à des problèmes tels que les erreurs de configuration (qui peuvent exposer des informations sensibles et devenir des points d’entrée pour du code malveillant) et les informations d’identification permissives (qui peuvent entraîner des mouvements latéraux et un empoisonnement CI).
Menaces multiples pour les pipelines
Diglio de Microsoft a ajouté que les techniques d’accès initial les plus courantes sont la mauvaise configuration des ressources du cycle de vie du développement logiciel (SDLC), les dépendances malveillantes et les attaques ciblées des développeurs.
« En pratique, cela signifie que les attaquants prennent pied en manipulant les entrées du pipeline CI/CD, y compris le code et la configuration », a-t-il déclaré.
En abusant de jetons à large portée et d’autres erreurs de configuration accordant l’accès aux ressources, les attaquants peuvent aller plus loin dans le système de leur cible
« Ensuite, les attaquants recherchent un mouvement latéral. En abusant de jetons à large portée et d’autres configurations erronées accordant un accès aux ressources, souvent basé sur des privilèges de position, les attaquants peuvent se déplacer plus profondément dans le système de leur cible et manipuler les étapes ultérieures de la livraison de logiciels. »
À partir de là, les attaquants peuvent abuser des ressources de production et compromettre les produits distribués à des tiers pour propager des attaques.
« Les compromis de l’infrastructure CI/CD permettent aux attaquants de manipuler le logiciel en cours de construction, faisant de l’infrastructure CI/CD une surface d’attaque pour exploiter la confiance des utilisateurs finaux », a déclaré Diglio.
CI/CD devient une cible plus facile
Selon John Steven, CTO chez ThreatModeler, les pipelines sont une cible plus facile que des environnements de production plus endurcis et bien surveillés. Les pipelines CI/CD ont tendance à recevoir moins d’attention en matière de sécurité et ont peu ou pas de journalisation pour ce que les développeurs exécutent dans le cadre des phases de construction, de package ou de déploiement.
Essentiellement, nous dit-on, injecter des logiciels malveillants ou exploiter une vulnérabilité via les actions du pipeline CI/CD d’une organisation ou même dans des logiciels open source ou des conteneurs et des images téléchargés à partir de sources externes est plus facile que d’attaquer avec succès un environnement de production sans préavis. Les envahisseurs le savent bien.
« Les attaquants au sein d’une organisation peuvent ajouter une configuration pour créer des phases qui injectent des dépendances vulnérables ou malveillantes », a déclaré Steven. Le registre.
« Les processus de construction ne créent généralement pas et encore moins conservent des journaux détaillés sur la façon dont le code est construit ou transformé, de sorte que ces injections seraient » invisibles « par rapport à une configuration néfaste ou à un commit source.
« À moins qu’une phase ultérieure ne procède à une analyse détaillée des fichiers binaires produits, ces injections resteront inconnues au fur et à mesure qu’elles seront orchestrées en production. »
À moins qu’une phase ultérieure ne procède à une analyse détaillée des binaires produits, ces injections resteront inconnues car elles sont orchestrées en production.
L’Open Worldwide Application Security Project (OWASP) a écrit sur la récente augmentation du nombre d’incidents visant à abuser de l’écosystème CI/CD, la fréquence et l’ampleur des attaques étant également en augmentation.
Les défenses en sont aux premiers stades
Les criminels adaptent rapidement leurs techniques pour cibler les CI/CD, tandis que de nombreux défenseurs en sont aux premiers stades de la recherche de la manière de détecter, de comprendre et de gérer les risques.
« Recherchant le bon équilibre entre sécurité optimale et vitesse d’ingénierie, les équipes de sécurité recherchent les contrôles de sécurité les plus efficaces qui permettront à l’ingénierie de rester agile sans compromettre la sécurité », a écrit l’OWASP.
Diglio a déclaré que le grand nombre de composants fournis avec la livraison de logiciels modernes et la complexité croissante de CI/CD compliquent les considérations de sécurité de la chaîne d’approvisionnement logicielle.
« Les organisations doivent mener avec une approche de défense en profondeur couvrant l’intégrité des sources, l’intégrité des builds, l’intégrité des versions, les dépendances et les contrôles d’accès », a-t-il déclaré.
Le dirigeant de Microsoft a décrit un certain nombre de mesures que les entreprises peuvent prendre pour renforcer les pipelines CI/CD, notamment en effectuant une évaluation à l’aide du Secure Supply Chain Consumption Framework (S2C2F), un outil développé et utilisé par le géant du logiciel depuis 2019 pour sécuriser ses propres processus de développement. .
En novembre 2022, Microsoft a contribué le S2C2F à l’OpenSSF (Open Source Security Foundation). Le cadre est conçu pour faire face aux menaces réelles de la chaîne d’approvisionnement qui sont spécifiques aux logiciels open source. Une évaluation l’utilisant aidera les organisations à comprendre comment améliorer la sécurité des pratiques de consommation open source, a déclaré Diglio.
Mesures de sécurité à prendre
Les entreprises doivent également remédier aux erreurs de configuration CI/CD, limiter l’accès à l’infrastructure CI/CD et aux services associés, et étendre la détection à l’infrastructure CI/CD. Ils doivent également renforcer IaC contre la falsification.
Les équipes DevOps devraient « commencer à gérer le risque de dépendance à des tiers dès aujourd’hui en faisant l’inventaire et en comprenant les dépendances, en les réduisant dans la mesure du possible et en les surveillant », a déclaré Diglio, pointant vers des outils de test et de débogage comme Dependabot dans GitHub, propriété de Microsoft. « Travailler progressivement sur l’épinglage, le proxy et la reconstruction de ces dépendances en interne à mesure que la maturité et la confiance de votre organisation augmentent. »
De plus, les développeurs doivent être inclus dans les programmes de sécurité de leurs entreprises. Cela inclut l’activation de l’authentification multifacteur (MFA) et de l’accès conditionnel, et l’examen des autorisations existantes sur l’infrastructure CI/CD dans le cadre du principe du moindre privilège dans une stratégie de confiance zéro.
« Éduquez vos développeurs sur les risques de sécurité et sur la façon dont les menaces de sécurité peuvent mettre leur entreprise en danger », a déclaré Diglio.
Les pipelines CI/CD ne vont nulle part. Ils font partie intégrante de la poussée DevOps plus large et de l’adoption du développement agile. Cependant, tout cela les rend attractifs et, pour l’instant, des zones vulnérables aux attaques. Les malfaiteurs le comprennent et se concentrent sur la chaîne d’approvisionnement des logiciels. Les organisations doivent maintenant prendre les mesures nécessaires pour durcir le processus.