VibeGuardLive feed
APIMCPRSSSkill查询
返回首页查看原文

2024年回顾:CI/CD安全的演进与未来展望

StepSecurity 如何在 2024 年实现 ARR 增长 5 倍,并保护超过 5,000 个开源仓库

引言

2024 年即将结束,我们一直在反思 CI/CD 安全领域的现状——这个领域持续面临着日益增长的挑战和机遇。今年的事件充分证明了保护 CI/CD 管道的至关重要性,以及当这些管道被攻破时可能造成的毁灭性影响。让我们深入探讨今年 CI/CD 安全领域的关键发展,以及对 2025 年的预期。

增长与采用

我们保护 CI/CD 管道的使命获得了显著关注:

  1. ARR 增长了 5 倍,这充分证明了客户对我们的信任。
  2. Harden Runner 的采用从 2K 增长到 5K 个开源仓库,体现了它对全球开发者的价值。
  3. 团队从 4 人扩大到 11 名全职成员,吸纳了优秀人才来强化我们的使命。

企业成功案例

我们的企业案例研究展示了 StepSecurity 企业级解决方案的现实影响和采用情况。请关注 2025 年第一季度更多此类案例研究。

Coveo 如何借助 StepSecurity 加强 GitHub Actions 安全

Coveo 通过集成 StepSecurity 增强了其 GitHub Actions 工作流的安全性,获得了深度可观测性以及对潜在威胁的自动防护。StepSecurity 使 Coveo 能够改进对安全配置错误检测、监控出站流量,并通过自动评分和动态分析评估第三方 Actions 的安全态势。在此阅读完整案例研究链接

Hashgraph 在不影响开发速度的前提下实现全面的 CI/CD 安全

通过实施 StepSecurity 平台,Hashgraph 显著增强了其 GitHub Actions 环境的安全性。从保护自托管 Runner 到防范第三方 GitHub Actions 的风险,StepSecurity 为整个 CI/CD 管道提供了全面的保护。在此阅读完整案例研究链接

检测到的 CI/CD 供应链攻击

我们检测到两个使用了 StepSecurity 社区版的开源项目中的重大 CI/CD 供应链攻击:

StepSecurity 检测到 Microsoft 开源项目 Azure Karpenter Provider 中的 CI/CD 供应链攻击

2024 年 8 月 31 日,一位独立安全研究人员成功演示了对 Azure Karpenter Provider(一个由 Microsoft 维护的开源项目)的供应链攻击。由于 Azure Karpenter Provider 使用了 StepSecurity Harden-Runner,此次攻击被实时检测到。StepSecurity 在攻击被利用后一小时内向 Microsoft 安全响应中心 (MSRC) 报告了检测结果。我们自豪地宣布,StepSecurity 已在 MSRC 致谢门户中获得认可,因其对该问题的检测和报告。在此阅读完整案例研究链接

StepSecurity 实时检测到 Google 开源项目 Flank 中的 CI/CD 供应链攻击

一位独立安全研究人员最近成功演示了对 Flank(一个由 Google 维护的开源项目)的供应链攻击。由于 Flank 使用了 StepSecurity Harden-Runner,此次攻击被实时检测到,即使研究人员试图通过精心构造的攻击来规避 Harden-Runner 的防护。在此阅读完整案例研究链接

2024 年重大 CI/CD 安全事件

XZ Utils 事件

XZ Utils 供应链安全事件在整个行业引起了震动。根据 CVE-2024-3094,构庺过程会提取源代码中存在的一个伪装的测试文件,然后被用来恶意修改 liblzma 代码中的特定函数以注入后门。

我们使用 StepSecurity Harden-Runner 分析了 XZ Utils 的构建过程,并观察到了后门的注入。在这篇博客文章中查看 XZ Utils 构建过程的完整分析。

Ultralytics 安全事件

Ultralytics 以其强大的 YOLO 模型而闻名,广泛应用于医疗、交通和农业等行业,其仓库最近因 CI/CD 漏洞而遭受了重大攻击。这篇博客文章探讨了 GitHub Actions 如何被利用来注入加密货币矿工、窃取敏感密钥以及污染构建缓存。我们聚焦于 CI/CD 攻击向量,并展示 StepSecurity Harden-Runner 如何本可以检测并缓解这一事件。

展望未来:2025 年预测

  1. 针对 CI/CD 管道的攻击将不断演变:威胁行为者在试图攻破 CI/CD 管道方面变得越来越老练。2025 年,我们预计 CI/CD 安全事件的数量将会上升,因为攻击者将继续利用构建过程、管道和依赖项中的漏洞。随着这些攻击的不断演变,组织将面临越来越大的压力,需要主动保护其 CI/CD 工作流。

  2. 意识和培训将增强:​ 随着 CI/CD 管道成为现代软件交付的关键组件,开发者的安全意识将占据核心位置。然而,许多开发者仍然不了解与 CI/CD 工作流相关的独特风险,例如供应链攻击或凭据泄露。2025 年,组织将越来越多地投资于开发者培训和教育,赋予团队识别和缓解这些风险所需的技能。针对 CI/CD 工作流的安全培训将成为主动防御策略的基石,使开发者能够从一开始就构建更安全的软件。

  3. 安全将嵌入工作流:​ 我们预见开发者将越来越多地采用与开发过程无缝集成的 CI/CD 安全解决方案。在 StepSecurity,我们通过为 Harden Runner 引入 GitHub Checks 来推进这一愿景。如果 Harden Runner 基线——一组关键的网络和进程行为——发生意外变化,这些检查将自动失败,帮助开发者实时检测和响应异常活动。这种向嵌入式安全的转变将使全球开发者更直观、更高效地保护 CI/CD 管道。

结语

当我们进入 2025 年时,CI/CD 安全领域继续快速发展。组织必须保持警惕,主动保护其 CI/CD 管道。在 StepSecurity,我们致力于以创新解决方案和全面的安全方法来引领这一进程。

想了解更多关于保护您的 CI/CD 管道的信息?开始免费试用

Try StepSecurity for Free

Try StepSecurity for Free