2022年04月03日
CI/CD是应用程序开发周期的重要组成部分。然而,犯罪分子正在利用CI(持续集成)/CD(持续交付)管道中的漏洞,窃取敏感信息,挖掘加密货币,并交付恶意代码。
最近的网络攻击利用了持续集成/持续交付(CI/CD)管道和开发人员工具中的漏洞,这说明了提高开发人员基础设施的安全性迫在眉睫。最典型的案例则是Codecov供应链攻击,这也提醒了用户,无论环境多么安全都不要在CI/CD环境变量中存储私密信息。
Codecov攻击者入侵了数千名开发人员使用的Bash上传器,成功地从客户环境中窃取了凭证、密