Sicherheitsrisiko CI/CD-Pipeline – Was uns die OWASP Top 10 CI/CD Security Risks lehren

Um sichere Anwendungen zu gewährleisten, reicht es nicht aus, nur den Code und die Abhängigkeiten auf Schwachstellen hin zu überprüfen. CI/CD-Umgebungen sind heutzutage das Herzstück eines jeden agilen Softwareunternehmens. Doch falsch konfiguriert, bieten diese zahlreiche Angriffsmöglichkeiten, wie das Stehlen geheimer Credentials durch das simple Erstellen eines Pull Requests.

In den letzten Jahren haben Angreifer zahlreiche Wege identifiziert, um Schwachstellen oder Fehlkonfigurationen von CI/CD-Pipelines auszunutzen.

Im Vortrag beleuchten wir die häufigsten Sicherheitsprobleme anhand von Beispielen und zeigen, welche Maßnahmen am besten geeignet sind, um diese zu vermeiden.

Vorkenntnisse

Ein grundsätzliches Verständnis von Aufbau und Funktionsweise gängiger CI/CD–Umgebungen (Jenkins, Gitlab, …) ist von Vorteil.

Lernziele

Fehler bei der Konfiguration und Nutzung von CI/CD–Umgebungen sind ein nicht zu unterschätzendes Problem für die Sicherheit moderner Softwareprodukte. Anhand von praxisnahen Beispielen sollen die Teilnehmenden befähigt werden, die häufigsten Sicherheitsprobleme von CI/CD–Umgebungen zu erkennen und mittels geeigneter Gegenmaßnahmen zu verhindern.