StepSecurity 的 Harden-Runner 通过类似 EDR 的运行时监控保护 8,000 多个代码仓库,阻止供应链攻击并确保 GitHub Actions 的安全。
StepSecurity 始终坚持一个明确的目标:让 CI/CD 管道默认实现安全。我们现在已经达到了一个重要里程碑,Harden-Runner 保护着超过 8,000 个开源代码仓库,这一成绩在突破 7,000 大关后不久便再次刷新。
Harden-Runner 本质上是一个面向 CI/CD 运行时的 EDR 解决方案。 正如传统 EDR 通过监控活动、检测威胁和执行保护来保护笔记本电脑和服务器等端点一样,Harden-Runner 将同样的安全模型扩展到了 CI/CD 运行时。它持续观察工作流,检测运行时行为,并阻断恶意活动。
自上次里程碑以来,我们不仅扩大了保护范围,还与全球安全社区分享了我们的专业知识。今年,我们有幸在 Black Hat USA 2025 上发表演讲,详细介绍了 Harden-Runner 如何检测到影响超过 23,000 个代码仓库(包括 GitHub、Meta 和 Microsoft 的代码仓库)的 tj-actions 供应链攻击。了解我们的 Black Hat 演讲详情 →
我们的平台目前每周监控超过 800 万个作业,覆盖从个人开发者到财富 500 强公司的各种工作流。这种增长轨迹揭示了一个重要事实:在现代软件开发中,确保 CI/CD 基础设施的安全已经从"锦上添花"变成了"绝对必要"。
势能正在积累:推动快速扩张的因素
从 7,000 到 8,000 个受保护代码仓库的快速增长,标志着工程团队对管道安全的思考方式正在发生更广泛的转变。组织正在从被动的事件响应转向主动的预防。
团队正在选择能够立即产生价值而无需重写工作流或增加开发速度摩擦的运行时保护。信息很明确:开发者需要与它们合作而非对抗的安全工具。
风险持续上升:当今 CI/CD 威胁的现实
针对构建管道的攻击手段日益复杂。威胁行为者已从关注生产系统转向关注构建这些系统的工厂。无论通过投毒依赖项、 compromised Actions,还是复杂的数据泄露技术,软件供应链都面临着持续的压力。
Harden-Runner 通过提供持续运行时监控来应对这一现实,捕获实际执行行为。静态分析告诉你可能发生什么;而我们展示的是正在发生的事情,实时呈现。
实战检测:Harden-Runner 如何保护生产管道
我们的运行时监控持续证明其价值,不仅能捕获安全威胁,还能发现否则会被忽视的基础设施异常。两个最近的检测案例凸显了 Harden-Runner 如何充当 CI/CD 生态系统的早期预警系统:
Ubuntu 运行器上意外安装 Microsoft Defender
自 2025 年 7 月 15 日起,Harden-Runner 在 GitHub 托管的 Ubuntu 运行器上检测到向 Microsoft Defender 端点的异常网络调用。我们的智能基线系统立即将这些调用标记为异常,因为它们从未出现在工作流模式中。通过我们的社区版和企业版,我们确认 Microsoft Defender 被无意部署到了 Ubuntu 基础设施。GitHub 确认了我们的发现并纠正了配置错误。如果没有运行时监控,这种变更将保持不可见,在数千个工作流中默默消耗资源并产生意外的网络流量。阅读完整故事 →
AWS GitHub Action 中的可疑标签移动
2025 年 8 月,我们的 Artifact Monitor 在 AWS 广受欢迎的 configure-aws-credentials action 中检测到异常行为,该 action 被超过 225,000 个代码仓库使用。v4.3.0 标签在数小时内被创建、删除,然后重新创建指向不同的提交。虽然此类标签移动曾在实际供应链攻击中被使用(如今年早些时候 tj-actions 和 reviewdog 的攻击),但我们的自动化监控立即标记了该事件以便调查。AWS 团队确认这是一次针对损坏发布的合法热修复,但该事件展示了我们的检测系统如何捕获攻击者用于恶意标签篡改的相同模式。阅读完整调查 →
防御软件包妥协激增
最近的 npm 软件包妥协浪潮已使整个 JavaScript 生态系统处于高度警戒状态。仅在过去三个月,我们就目睹了令人担忧的供应链攻击激增:
最近重大事件(过去 3 个月)
- 2025 年 9 月:20+ 个流行 NPM 软件包被 compromise - chalk、debug、strip-ansi 等通过维护者账户接管被 compromise
- 2025 年 9 月:GhostAction 活动 - 通过恶意 GitHub 工作流窃取超过 3,000 个密钥
- 2025 年 8 月:NX Build System 软件包被 compromise - 流行构建工具感染了数据窃取恶意软件
- 2025 年 8 月:ESLint-Config-Prettier 攻击 - 广泛使用的代码格式化包出现妥协迹象
- 2025 年 7 月:is-package 被 compromise - 另一起针对 JavaScript 生态系统的 npm 供应链攻击
- 2025 年 7 月:num2words PyPI 软件包攻击 - Python 软件包注册表也成为目标,显示跨生态系统威胁
这些攻击有一个共同模式:它们窃取密钥、劫持加密货币交易,且通常在数小时或数天内保持不被发现。传统安全工具会错过它们,因为恶意代码在合法的构建过程中执行,使用的是可信域名。
Harden-Runner 为这些软件包妥协提供了多层防御:
运行时检测:当 compromised 软件包在您的 CI/CD 中执行时,Harden-Runner 立即检测到异常行为,如向攻击者基础设施发出意外网络调用,或尝试读取敏感环境变量。
行为基线:即使使用看似合法的域名的高度复杂攻击也会被捕获,因为它们偏离了已建立的工作流模式。当构建过程突然开始发出从未发出过的调用时,我们会立即发出警报。
保护 AI 驱动的未来:Harden-Runner 与编码 Agent 的结合
随着 AI 编码助手(如 GitHub Copilot 和 Claude Code)获得创建分支、打开拉取请求和执行代码的能力,一个关键的安全差距出现了:组织对自主 Agent 在 CI/CD 管道中实际执行的操作没有任何可见性。传统安全工具无法区分正常 Agent 行为和潜在滥用或操纵。
Harden-Runner 通过为 AI 驱动的工作流提供运行时监控来弥合这一差距,实时可见 Agent 生成代码执行的每个操作——从文件访问和进程执行到网络连接。随着 GitHub Next 的 Continuous AI 等项目扩展这一生态系统,Harden-Runner 帮助团队在保持强大安全控制的同时拥抱 AI 驱动的生产力。
了解更多关于 CI/CD 中 AI 安全的信息:
- 当 AI 遇见 CI/CD:隐藏的安全风险 →
- 保护 GitHub Actions 中的 GitHub Copilot →
- 保护 GitHub Actions 中的 Claude Code →
- 保护 GitHub Actions 中的 Gemini →
社区展示:领先项目
通过我们的免费社区版,我们支持构成现代开发支柱的开源项目。在目前由 Harden-Runner 保护的 8,000+ 个代码仓库中,我们特别自豪能够保护数百万开发者每天依赖的关键基础设施项目。
Kubernetes:全球领先的容器编排平台信任 Harden-Runner 来保护其 CI/CD 工作流。凭借其庞大的贡献者生态系统和复杂的构建流程,Kubernetes 使用我们的运行时监控来确保每个工作流执行保持透明和安全。这种保护扩展到多个 Kubernetes 子项目,保护着为全球云原生应用提供动力的基础设施。
探索这个交互式演示,了解 Kubernetes 如何利用 Harden-Runner 保护其 GitHub 工作流文件:
Ruby:Ruby 编程语言项目已集成 Harden-Runner 来保护其开发管道。作为为 Rails 和无数 Web 应用提供动力的基础技术,Ruby 的安全至关重要。Harden-Runner 为 Ruby 团队提供对其 CI/CD 操作的实时可见性,帮助维护一个服务于数百万开发者的语言生态系统的完整性。
这些采用案例表明,即使是最注重安全的项目也认识到运行时监控的价值。当此类规模的项目选择 Harden-Runner 时,它验证了我们在 CI/CD 安全方面的方法,并加强了我们保护开源生态系统的承诺。
展望未来:规模带来的经验
这个 8,000 个代码仓库的里程碑代表了社区认识到 CI/CD 安全是基础而非可选的。增长阶段的关键洞察包括:
- 安全不牺牲:团队拒绝在保护和生产力之间做出选择
- 透明度创造信任:当开发者看到管道的实际行为时,安全变得显而易见而非强制施加
- 普遍需求:从个人维护者到企业团队,每个人都面临确保构建过程安全的相同基本挑战
采取行动:开始保护您的管道
🔒 准备好保护您的工作流了吗?
加入成千上万个已从 Harden-Runner 保护中受益的代码仓库。我们的安全工作流工具可通过社区版免费使用,只需最少设置即可自动将 Harden-Runner 集成到您的 GitHub Actions 中。
无论规模大小,Harden-Runner 都提供现代 CI/CD 所需的可见性和控制。
成为下一波浪潮的一部分,follow 这个交互式演示了解如何将 Harden-Runner 添加到您的工作流中:
我们正在共同建设一个安全 CI/CD 不是例外而是预期的未来。