宣布 Harden Runner 正式发布
2022 年 2 月,StepSecurity 推出了 Harden Runner,这是首个专为 CI/CD 流水线打造的安全代理产品。自发布以来,Harden Runner 已被超过 400 个开源项目采用,其中包括来自 Microsoft、Google 和 Automattic 的项目 [1]。
今天,我很高兴地宣布 Harden Runner 正式发布。这是唯一能够切实阻止 SolarWinds 和 Codecov 攻击手段的解决方案。
您可以将 Harden Runner 视为 CI/CD 流水线的上下文感知型端点检测与响应(EDR)解决方案,用于审计和阻止出口流量、检测源代码覆盖,以及无需 sudo 权限运行流水线。
Harden Runner 可以阻止 CI/CD 流水线的出站流量
Harden Runner 概述
CI/CD 流水线拥有用于部署的特权凭证,并用于创建发布版本。这使其成为 SolarWinds 等攻击的目标——源代码在构建过程中被篡改,以及 Codecov 事件——数千个 CI/CD 流水线的凭证被窃取 [2][3]。
Harden Runner 将 CI/CD 供应链安全提升到一个新的水平,具体包括:
- 防止代码和凭证从 CI/CD 流水线中泄露
- 检测构建过程中源代码被篡改的行为
- 检测构建过程中使用的恶意工具和依赖项
在最新版本中,除了使平台满足企业需求外,我们还根据日益增长的用户需求发布了三个新功能:
1. 禁用 sudo:使用 Harden Runner,您可以深入了解作业是否使用了 sudo。如果没有,您可以禁用作业运行的 sudo 权限。这是为了防止恶意构建工具或依赖项安装攻击工具。
2. 改进的源代码覆盖检测:在之前的版本中,Harden Runner 仅监控少数文件扩展名。在新版本中,所有源代码文件都会被监控。这意味着现在可以检测到基础设施即代码文件(如 Kubernetes 清单或 Terraform)的篡改行为。
3. 安全告警:您现在可以配置 Slack Webhook 和电子邮件地址,在出站流量被阻止或构建过程中源代码文件被覆盖时接收告警。
您可以通过新的文档网站获取每个功能的详细信息。
Harden Runner 功能一览
案例研究
InovIntell 使用 Harden Runner 保护其 CI/CD 安全
InovIntell 帮助生命科学组织以更智能、更快速的方式实现目标,最终让患者受益,提供将 AI 作为无处不在且隐形工具的解决方案。
作为患者数据的守护者,InovIntell 始终在创新部署新的安全控制措施,以保护其数据资产(包括患者的医疗数据)。InovIntell 需要一个易于使用的解决方案来加强其 CI/CD 流水线,抵御第三方供应链威胁。
StepSecurity 的产品正在填补一个日益增长的安全缺口,针对最广泛使用的 CI/CD 流水线产品之一——GitHub Actions。我们的项目能够轻松使用它,而无需牺牲任何灵活性,同时显著提高了我们产品的安全性
Szymon Maszke,首席技术官,InovIntell
定价
作为社区计划的一部分,所有 Harden Runner 功能对公共 GitHub 仓库免费开放。今天,我们宣布为私有仓库推出团队版和企业版计划,并提供优先级支持。详情请参阅我们的网站。
Harden Runner 社区版和团队版计划
攻击模拟器
您可以使用 StepSecurity 攻击模拟器 模拟 SolarWinds、Codecov 和 ua-parser-js 等过去的供应链攻击,查看 StepSecurity 如何阻止这些攻击。
如需了解新功能发布的最新动态,请在 LinkedIn 和 Twitter 上关注 Step Security。
免费试用 StepSecurity
参考资料
[3] Bash 上传器安全更新