7,000 个开源项目现已由 Harden-Runner 提供安全保障

StepSecurity 的 Harden-Runner 现已为超过 7,000 个 GitHub 仓库提供保护，具备实时 CI/CD 运行时监控、威胁检测和供应链安全防护功能——并提供冒名提交警报、基于进程的检测和 GitLab 支持等特性。

在 StepSecurity，我们的使命坚定不移：让 CI/CD 流水线默认安全。今天，我们很高兴地宣布，Harden-Runner 现已为超过 7,000 个开源仓库提供保护——距离达到 6,000个里程碑才刚刚两个月。

我们每周监控社区用户和企业客户的超过 500 万个工作流任务。这反映出开发者和安全社区越来越认识到 CI/CD 是供应链安全的新前沿，对构建过程中运行内容的可见性不再是可选项。

为何重要：威胁环境中 Harden-Runner 的价值

软件供应链正受到多方攻击——从可变标签和未维护的 Actions，到嵌入在可信项目中的复杂窃密技术。开发者需要能够提供实时保护的工具，同时不会破坏工作流程或拖慢团队速度。

Harden-Runner 正是为此而生。 它为 GitHub Actions 提供运行时监控和执行，在可疑行为发生时立即进行检测——通常比其他任何人都更早察觉。

真实世界的 CI/CD 安全：Harden-Runner 的检测与防御

我们在开源领域采用率的增长并非凭空而来。这是因为 Harden-Runner 持续提供真实世界的价值，常常捕获他人遗漏的威胁。

这样的例子之一是我们对 tj-actions 供应链攻击的早期检测，该攻击暴露了跨流行 GitHub Actions 的链式妥协。这次关键发现为许多项目防止了潜在损失。

Varun Sharma（StepSecurity 首席执行官） 和 Ashish Kurmi（StepSecurity 首席技术官） 将在 Black Hat USA 发表完整演讲，题目为 "当'变更文件'改变一切：发掘并应对 tj-actions 供应链攻击。" 如果您参会，我们很希望您能来交流。

Harden-Runner 在多个客户中检测到 release-assets.githubusercontent.com 的新流量

Harden-Runner 在多个客户中检测到对 release-assets.githubusercontent.com 的意外出站调用。这个新域名从未出现在工作流基线中，引发了对潜在平台泄露的担忧。

StepSecurity 迅速关联了相关活动，联系了 GitHub 支持，并确认这是合法的基础设施变更——而非泄露。Harden-Runner 基线已立即更新，并建议客户更新出口规则。

新功能：自 6,000 个项目以来的功能扩展

自上次里程碑博客达到 6,000 个项目以来，我们引入了几项新功能，帮助团队更好地使用 Harden-Runner：

冒名提交检测

我们现在会在 GitHub Action 使用指向不存在于该 Action 仓库默认分支上的提交的标签时发出警报。这可以帮助您：

发现可能已被入侵的 Actions
审查采用风险发布实践的项目
就信任此类 Actions 做出明智决策

👉 在此博客文章中了解更多

基线监控

我们引入了基线监控，用于检测跨作业、仓库、ARC 集群乃至 GitHub 组织的异常出站网络活动。每个资源被分配 Creating、Stable 或 Unstable 状态，以帮助团队更快地识别异常。

👉 在文档中了解更多

基于进程的检测

我们最近扩展了检测能力，纳入了基于进程的信号。这些检测有助于识别运行程序上的高风险行为，例如：

尝试读取运行程序工作内存
执行反向 shell
启动特权容器

这些新增功能增强了我们检测和阻止超越网络指标的高级攻击的能力。

GitLab 支持

StepSecurity 现已支持 GitLab 自托管运行程序，让 GitLab 用户也能享受与 GitHub 项目相同的丰富遥测和策略执行功能。

👉 在文档中了解更多

StepSecurity 在 AWS Marketplace 上架

StepSecurity 现已在 AWS Marketplace 上架，使企业能够更轻松地采购和大规模部署 CI/CD 保护。

👉在此博客文章中了解更多

项目聚焦：Harden-Runner 实战案例

我们很自豪能够通过社区版支持开源生态系统——对所有公共仓库免费。

数千个项目依靠 Harden-Runner 进行威胁检测、最小权限执行和运行时可见性。以下是最近的一些突出案例：

WasmEdge：一个高性能 WebAssembly 运行时，WasmEdge 使用 Harden-Runner 通过出站网络控制和行为监控保护其 CI 工作流。

探索这个交互式演示，了解 WasmEdge 如何利用 Harden-Runner 保护其 GitHub 工作流文件：

Intel 的开源项目：Intel 的多个开源项目现已受到保护，包括：

这些仓库构成了开发者工具和 UI 设计的构建基础，Harden-Runner 有助于确保其工作流保持安全可控。

探索这个交互式演示，了解 Intel 如何利用 Harden-Runner 保护其 GitHub 工作流文件：

🔒 还未使用 Harden-Runner？

现在是开始使用 Harden-Runner 的最佳时机，使用 Secure Workflow——在我们的社区版免费使用，自动将 Harden-Runner 添加到您的工作流文件中。仅需几次点击即可保护您的 GitHub Actions。

让我们共同推动 CI/CD 安全向前发展。

StepSecurity的Harden-Runner现已保护超过7000个GitHub仓库，每周监控超过500万个CI/CD任务。该工具在tj-actions供应链攻击事件中发挥了早期预警作用，通过冒名提交检测、进程行为分析和基线监控等功能，帮助开发者和企业防护CI/CD流水线中的供应链威胁。GitLab用户现也可使用该工具的遥测和策略执行功能。