探索 2024 年 CI/CD 安全趋势、挑战与策略的综合洞察

CI/CD 领域在 2023 年发生了一些重大攻击事件、新兴趋势和行业动态。在本博客中，我们将回顾过去一年发生的一切，以及 2024 年即将到来的一切——包括重大转变、安全挑战，以及您在 CI/CD 领域需要关注的一切。如果您希望在 2024 年保护您的组织免受因 CI/CD 管道被入侵而导致的供应链攻击，那么这篇博客文章是您必读的内容！

什么是 CI/CD？为什么需要保护它？

CI/CD 管道将软件从源代码创建到部署，是 DevOps 的基础。它负责自动化开发过程中的重复性任务，帮助节省时间、消除人工错误的可能性，并实现高质量的软件交付。

由于 CI/CD 管道可以访问源代码，并负责自动化构建、测试和部署生产环境软件的过程，因此确保其安全性至关重要。CI/CD 管道被入侵的主要风险包括：CI/CD 凭据泄露可能导致访问云基础设施，以及构建篡改可能导致供应链攻击。

2024 年 CI/CD 安全预测

1. 从传统 CI/CD 提供商向 GitHub Actions 的转型

Jetbrains 2023 年调查显示 GitHub Actions 使用率领先

根据过去 12 个月的交流，我们注意到行业中出现了一个市场趋势——许多组织正从 Jenkins、Team City 或 Travis CI 等传统 CI/CD 提供商转向拥抱 GitHub Actions、GitLab CI 和 Harness 等现代平台。这三个平台能够在单一视图中整合源代码和 CI/CD，提供托管环境且无需设置。这使组织摆脱了管理 CI/CD 基础设施的繁琐任务，使团队能够专注于开发而无须承担后勤开销。不过，在这三个平台中，GitHub Actions 尤为突出，因为它对开源项目免费提供，并拥有提供 20,000 个 Actions 的市场。

此外，Jetbrains 2023 年的一项调查列出了 29,000 名来自世界各地的开发者反馈的最常用的 17 种 CI 工具。结果显示——GitHub Actions 以 53% 的开发者定期使用率位居榜首。市场趋势和 Reddit 及 Stack Overflow 等论坛上的讨论也表明，与 Jenkins 相比，开发者更倾向于使用 GitHub Actions。导致从 Jenkins 大规模迁移的主要原因之一是难以维护和保护的插件生态系统。这些大量无人维护的插件也被称为"弃用软件"，构成了严重的安全风险，可能对组织造成重大损害。

2. CI/CD 中第三方组件使用量增加

第三方 GitHub Actions 可自动化的部分任务包括代码测试、部署、安全检查、基础设施管理等

2023 年，我们看到 CI/CD 的采用率持续上升，这催生了一个充满活力的可重用组件生态系统，类似于 JavaScript 的 npm 或 Golang 的包管理器。借助 GitHub Actions Marketplace 等平台，现在有超过 20,000 个第三方 Actions 可用，涵盖从代码测试到安全检查的各种任务。这些 Actions 正被开发者积极利用，帮助他们节省数百小时的时间并避免重复工作。此外，当第三方 Actions 被分享、得到良好维护并由开源 CI/CD Action 开发者持续改进时，也有助于行业实现一致的 CI/CD 流程。这个繁荣的生态系统可以在来年极大地帮助组织提高软件开发效率。

然而，管理第三方 Actions 中的依赖项和漏洞是一项相当具有挑战性的任务，需要适当的审查实践和持续警惕以确保其安全性。随着越来越多的组织采用第三方 Actions 并利用 CI/CD 市场，解决安全问题变得越来越重要。在 2024 年，人们将更加意识到"弃用软件"或无人维护的第三方 Actions 可能带来的安全风险，组织将意识到在这个不断发展的领域中持续维护和支持的重要性。

另请阅读： GitHub Actions 安全最佳实践（附清单）

3. CI/CD 安全事件增加以及对 CI/CD 安全的迫切需求

Forrester 研究显示，大多数组织在过去两年中经历过 DevOps 安全事件

2023 年 CI/CD 采用率的增加也带来了令人担忧的安全威胁激增。2023 年，以 CI/CD 为基础的安全攻击显著增加，不仅针对流行的软件包，也针对提供商本身。根据 Forrester 的一项研究，57% 的组织确认在过去两年中经历过与不安全的 DevOps 流程导致的密钥泄露相关的安全事件。以下是 2023 年一些主要的 CI/CD 安全事件：

2023 年 1 月影响所有 CircleCI 客户的 CircleCI 安全漏洞
朝鲜和俄罗斯国家行为者利用未修补的 JetBrains TeamCity 服务器
微软于 2023 年 11 月发现的 Azure CLI 漏洞，该漏洞导致 CI/CD 构建日志中的密钥泄露
Google Cloud Build 漏洞允许黑客发起供应链攻击

今年，道德安全研究人员和红队积极参与 CI/CD 系统以提高对安全威胁的认识。以下是一些此类博客和文章示例：

在 2024 年，类似的安全攻击将继续存在，并且频率和严重程度会更高。因此，这些市场趋势将在来年催生对 CI/CD 安全的更大需求。

4. 更多宏观行业趋势，如基准测试和指导

2023 年全球权威机构发布的指导和基准

2023 年，行业共同应对不断升级的 CI/CD 安全威胁，催生了有希望加强 CI/CD 管道的宏观趋势。以下是 2023 年的一些市场趋势：

互联网安全中心（CIS）发布了 GitHub 基准，概述了增强 CI/CD 安全性的重要建议。
网络安全和基础设施安全局（CISA）与国家安全局（NSA）合作发布了防御 CI/CD 管道的联合指导。了解更多关于该指导的信息，请阅读这篇博客。
美国国家标准与技术研究院（NIST）发布了一份初步公开草案，强调将软件供应链安全整合到 DevSecOps CI/CD 管道中的策略。
Gartner 正式认可应用安全态势管理（ASPM）作为一个类别，强调了 CI/CD 安全在其中发挥的重要作用。
英国国家网络安全中心发布了关于安全部署实践的指导。

总体而言，这些行业范围内的举措反映了对 CI/CD 安全挑战的认识提高和积极主动的应对措施。在 2024 年，这一势头指向一个更加安全的软件开发前景，更多组织将意识到保持警惕和适应变化对于增强 CI/CD 安全的重要性。

5. AI 和 ML 的 CI/CD 安全

Salesforce 研究显示，2023 年美国有大量人口采用生成式 AI

在 AI 和 ML 的动态世界中，2023 年见证了生成式 AI 和大型语言模型（LLM）使用的显著增长。Salesforce 的一项研究强调，45% 的美国人口现在积极使用生成式 AI，尽管 ChatGPT 今年才庆祝其成立一周年。

凭借允许企业构建自己的 LLM 系统的开源大型语言模型丰富生态系统，部署新模型的压力比以往任何时候都更高。在 2024 年，随着越来越多的企业利用 CI/CD 管道来处理 AI/ML 模型，必然会面临一波安全挑战，需要创新的解决方案和行业思维方式的转变。

造成这一挑战的一些因素包括：

模型在生产环境中的部署增加：这扩大了攻击面，使恶意行为者更有可能将构建和部署这些模型的管道作为目标。
数据安全问题：AI/ML 模型通常在敏感数据上进行训练，使得数据泄露成为主要威胁。
不断发展的监管环境：随着人工智能和机器学习的采用增长，法规和合规要求将变得更加严格，CI/CD 管道将需要适应以满足这些不断发展的标准。

那么，在 2024 年的 AI/ML CI/CD 安全领域，我们可以期待看到什么？预计会出现专门为保护 AI/ML CI/CD 管道而设计的新工具——这些工具将自动化任务、提供实时洞察，并帮助团队在不断演变的威胁中保持领先。

结论

CI/CD 领域正在快速发展，每年被越来越多的企业采用。采用的增加也导致对 CI/CD 安全需求的增长。2024 年将看到创新安全解决方案的引入，这些方案将赋予企业能力，在不断演变的 CI/CD 威胁中保持领先，并确保安全的软件开发。

为更安全的 2024 年干杯！

2024年CI/CD安全预测