Meilleures pratiques NSA et CISA pour sécuriser l’environnement d’intégration continue/livraison continue dans le cloud
Les chaînes d’approvisionnement de développement et de livraison de logiciels sont des cibles attrayantes pour les cyberacteurs malveillants. Ils peuvent utiliser ces environnements pour compromettre les déploiements cloud tout au long du cycle de développement et de livraison de logiciels automatisés.
La National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) publient une fiche d’information sur la cybersécurité (CSI) – « Defending Continuous Integration/Continuous Delivery (CI/CD) Environments » afin de fournir des recommandations pour l’intégration des meilleures pratiques de sécurité dans les environnements CI/CD typiques de développement et d’exploitation de logiciels (DevOps). Les agences encouragent les organisations à utiliser les meilleures pratiques pour renforcer leurs déploiements cloud CI/CD.
« L’environnement de cloud virtuel s’appuie sur les logiciels, ce qui fait du développement et de la livraison un élément crucial de la fourniture de services dans le cloud », a déclaré le Dr Ethan Givens, directeur technique de NSA, Critical & Emerging Technologies. « L’incapacité à défendre efficacement le pipeline CI/CD peut fournir un vecteur d’attaque qui contourne les politiques et les produits de sécurité. »
Les environnements DevOps CI/CD typiques sont des cibles attrayantes pour les cyberacteurs malveillants. Ils peuvent compromettre les informations en introduisant du code malveillant dans les applications CI/CD, accéder à la propriété intellectuelle/aux secrets commerciaux par le vol de code ou provoquer des effets de déni de service sur les applications.
DevOps est une méthodologie qui combine le développement de logiciels et les opérations de technologie de l’information (TI). Il est utilisé pour raccourcir le cycle de vie du développement logiciel et fournir une livraison continue de produits de haute qualité. Lors de l’intégration de la sécurité dans DevOps, la méthodologie s’appelle DevSecOps.
Le pipeline CI/CD est un élément clé de l’approche DevSecOps qui intègre la sécurité et l’automatisation tout au long du cycle de développement. Il se concentre sur l’automatisation de l’intégration et de la livraison des applications de manière sécurisée, rapide et efficace. Les pipelines CI/CD sont souvent implémentés dans des environnements cloud commerciaux. Les organisations utilisent les outils et services DevSecOps CI/CD pour rationaliser en toute sécurité le développement de logiciels et gérer les applications et l’infrastructure programmable dans le cloud.
Les recommandations du CSI pour renforcer les pipelines CI/CD incluent les meilleures pratiques pour l’authentification et le contrôle d’accès, les environnements et outils de développement, et le processus de développement dans son ensemble. La NSA et la CISA recommandent aux organisations et aux défenseurs des réseaux de mettre en œuvre les mesures d’atténuation de cette CSI pour réduire la compromission de leurs environnements CI/CD et créer un environnement difficile pour les cyberacteurs malveillants.
Lire le rapport complet ici.
Visitez notre bibliothèque complète pour plus d’informations sur la cybersécurité et des conseils techniques.
Relations avec les médias de la NSA
[email protected]
443-634-0721