VibeGuardLive feed
APIMCPRSSSkill查询
返回首页查看原文

9,000 个开源项目现已由 Harden-Runner 保障安全

翻译

StepSecurity Harden-Runner 现已保护超过 9,000 个开源项目,提供实时 CI/CD 运行时安全性,保护管道免受现代供应链攻击。

在 StepSecurity,我们的使命始终明确:让 CI/CD 管道默认安全。今天,我们自豪地宣布,Harden-Runner 现已保护超过 9,000 个开源 仓库——这是在突破 8,000 大关仅两个月后达成的又一个里程碑。这种快速增长反映出人们越来越认识到 CI/CD 安全性已不再是可选项。

Harden-Runner 本质上是一个面向 CI/CD 运行器的 EDR 解决方案。​ 正如传统 EDR 通过监控活动、检测威胁和执行保护来保护笔记本电脑和服务器等端点一样,Harden-Runner 将相同的安全模型扩展到 CI/CD 运行器。它持续观察工作流、检查运行时行为并阻止恶意活动。

我们现在每周监控超过 1,200 万个作业,覆盖从个人开发者到财富 500 强公司的各种工作流。这种持续增长标志着组织在管道安全方面发生了根本性转变:从被动的事件响应转向主动的、持续的保护。

OWASP 提升供应链安全优先级:CI/CD 管道现已成为十大风险之一

最新的 2025 年 OWASP Top 10 引入了重大变化:

" A03:软件供应链故障 " 被新增并在全球社区调查中被评为首要关注点。

OWASP 首次明确指出 CI/CD 管道是关键的故障点:

" 具有较弱安全性的复杂 CI/CD 管道会成为主要的供应链漏洞。"

这与我们整个行业所观察到的情况一致。

攻击不再仅仅针对应用程序依赖项——它们越来越多地针对构建过程本身,利用可信的自动化来注入恶意代码、窃取凭据或篡改制品。

CI/CD 管道已成为最高价值目标之一,原因如下:

  • 构建系统通常以高特权访问权限运行
  • 操作、扩展和构建工具从第三方获取
  • 许多管道根本没有运行时监控

传统安全控制——静态分析、依赖项扫描或定期审计——无法检测 CI/CD 运行期间发生的情况。

而这正是现代供应链攻击发生的地方。

组织现在需要在 CI/CD 管道内部实现运行时可视化和执行。

这种不断增长的威胁类别需要持续监控,这种监控能够适应每个工作流、理解什么是"正常"行为,并能够实时阻止异常或恶意行为。

OWASP 的认可正式确认了安全团队多年来的感受:

确保 CI/CD 管道安全已不再是可选项——它是软件完整性的基础。

社区聚焦:大规模信任

通过我们的免费社区版,我们支持构成现代开发支柱的开源项目。在 Harden-Runner 现在保护的 9,000 多个仓库中,我们特别自豪能够保护数百万开发者每天依赖的关键基础设施项目。

CrowdStrike 开源项目采用 Harden-Runner

Harden-Runner 运行时 CI/CD 安全性需求不断增长的另一个强烈信号是,多个 CrowdStrike 开源项目已采用 Harden-Runner。CrowdStrike 的工程团队维护着广泛使用的社区工具和集成——在整个安全生态系统中广泛使用,保护他们的构建管道是维护信任和完整性的关键部分。

快速查看 GitHub 即可发现多个 CrowdStrike 仓库已将 Harden-Runner 集成到其 GitHub Actions 工作流中:

例如,​falcon-helm 项目在此 PR 中添加了 Harden-Runner:

Kong 开源项目使用 Harden-Runner 加强 CI/CD 安全性

Kong 是全球采用最广泛的 API 网关之一的背后公司,该公司也开始将其多个开源项目与 Harden-Runner 集成。Kong 的工具处于 API 基础设施和数千个工程团队的服务连接的核心,保护其构建管道的完整性至关重要。

快速搜索显示多个 Kong 仓库已采用 Harden-Runner:

其中一个例子是 sdk-konnect-go 项目,它在此 PR 中添加了 Harden-Runner:

TektonCD

作为现代 CI/CD 生态系统的基石,TektonCD 提供了创建强大的云原生管道的构建块。通过 Harden-Runner,TektonCD 的工作流获得实时保护和可见性——确保每次管道执行都是透明的、防篡改的,并符合最高安全标准。

探索此交互式演示,了解 TektonCD 如何利用 Harden-Runner 保护其 GitHub 工作流文件:​

Brotli (Google)

作为一种广泛应用于 Web 的压缩算法——从浏览器到 CDN——Brotli 的完整性对全球性能和安全性至关重要。通过集成 Harden-Runner,Brotli 项目受益于持续的供应链威胁监控,强化了对现代 Web 基础设施中最基本组件之一的信任。

探索此交互式演示,了解 Brotli 如何利用 Harden-Runner 保护其 GitHub 工作流文件:​

新功能:更强的控制和灵活性

自达到 8,000 个受保护仓库以来,我们专注于让团队能够更好地控制 Harden-Runner 适应其独特工作流模式的方式,并扩展平台支持以满足日益增长的需求。

将 Harden-Runner 内置到自定义 GitHub 运行器镜像中

GitHub 现在支持使用自定义运行器镜像,允许您将 StepSecurity 的 Harden-Runner 直接烘焙到您的镜像中。通过此功能,您无需再将 Harden-Runner action 添加到每个工作流中——只需使用自定义镜像即可自动提供内置的运行时保护和监控。

在我们的文档中了解如何启用此功能。

无需更改工作流即可分配策略

您现在可以直接创建并分配策略到仓库、作业或组织——无需修改您的工作流文件。

这简化了策略管理并减少了配置开销,使跨环境一致地强制执行安全标准变得更加容易。在我们的文档中了解更多信息。

可自定义的基线稳定性阈值

并非所有工作流都是相同的。频繁运行的工作流(每天运行数十次)比每周部署管道更快地形成稳定的模式。我们引入了可自定义的基线检测阈值,让您可以根据工作流特征调整异常检测何时激活。

  • 基于运行的检测:​ 设置异常检测开始前自定义的最少工作流运行次数。对于大多数工作流,默认阈值仍为 100 次运行,但您可以通过提高或降低限制来更好地适应您的特定用例。
  • 基于时间的检测:对于运行不频繁但仍需要保护的工作流,启用基于时间的检测,在定义的天数后激活监控。如果您的部署工作流每周只运行一次,但您希望在 30 天内获得保护,基于时间的检测可确保您无需等待 100 次运行来建立基线。

这种灵活性意味着 Harden-Runner 适应您的工作流节奏,而不是强迫您的工作流适应僵化的阈值。了解有关配置异常检测的更多信息 →

从基线简化策略创建

管理出口策略过去需要手动添加工作流所需的每个端点。我们通过基线到策略转换简化了这一过程,使从审计模式到执行模式的过渡变得轻松。

现在,在策略存储中创建策略时,您可以自动从已建立的基线导入所有端点。无需手动抄录数十个域名,您可以直接将经过验证的工作流模式转换为可执行的策略。

这种方法将已建立基线的精确性与集中化策略管理的便利性相结合,使在整个组织中强制执行最小特权访问变得更加容易。了解有关从基线创建策略的更多信息 →

扩展平台支持:macOS 和 Windows 即将到来

虽然 Linux 运行器一直是我们的主要关注点,但我们认识到许多团队依赖 macOS 和 Windows 环境来满足特定的构建需求。我们正在积极开发 Harden-Runner 对这两个平台的支持,并正在寻找设计合作伙伴来帮助塑造这些实现。

如果您的组织使用 macOS 或 Windows 自托管运行器,并希望尽早获得这些平台的 Harden-Runner 功能,我们很乐意与您合作。设计合作伙伴将获得:

  • 提前访问 macOS 和 Windows Harden-Runner 构建版本
  • 直接参与功能优先级排序和实施决策
  • 在测试阶段获得专门支持
  • 在宣布正式发布时作为发布合作伙伴获得认可

有兴趣成为设计合作伙伴?请联系我们

展望未来:积累势头

达到 9,000 个受保护仓库不仅仅是一个数字——它代表了数千个团队选择主动安全而不是被动事件响应。此增长阶段的关键洞察:

  • 灵活性很重要:团队需要适应其工作流的安全工具,而不是一刀切的解决方案
  • 可见性推动采用:当开发者了解其管道中发生的情况时,他们会接受安全控制
  • 平台多样性至关重要:无论在 Linux、macOS 还是 Windows 上构建,都要支持团队

采取行动:立即保护您的工作流

🔒 准备加入 9,000 多个受保护仓库?​

使用我们的安全工作流工具开始使用 Harden-Runner——通过我们的社区版免费提供。它以最少的配置自动将 Harden-Runner 集成到您的 GitHub Actions 中。

无论您是在保护个人项目还是企业基础设施,Harden-Runner 都能提供现代 CI/CD 所需的运行时可见性和控制。

成为下一波浪潮的一部分,观看此交互式演示了解如何将 Harden-Runner 添加到您的工作流:

一起努力,我们正在建设一个让安全 CI/CD 成为默认而非例外的未来。