Cualquier empresa de software contemporánea debe tener entornos, procedimientos y sistemas para la integración continua y la entrega continua. Transportan el código escrito en la estación de trabajo de un ingeniero al entorno de producción. El ecosistema de ingeniería se ha reformado significativamente como resultado de la proliferación de sistemas y procedimientos de CI/CD que también ha estado acompañado por el crecimiento de la disciplina DevOps y los diseños de microservicios.

El stack tecnológico está más diversificado, tanto en términos de los lenguajes de programación que se utilizan como de las tecnologías y frameworks que se adquieren más adelante en el proceso de desarrollo (por ejemplo GitOps, K8s).
La adopción de nuevos lenguajes y frameworks de programación está ocurriendo a un ritmo mucho más rápido y con obstáculos técnicos menos importantes.

La automatización y los métodos conocidos como Infraestructura como código (IaC) se están generalizando cada vez más.

Los terceros tanto en forma de proveedores externos como dependientes en el código se han convertido en un componente importante de cualquier ecosistema de CI/CD. La incorporación de un nuevo servicio a menudo requiere poco más que la adición de una o dos líneas de código.

Estas propiedades hacen posible distribuir software de una manera más rápida flexible y diversificada. Sin embargo al hacerlo también han remodelado la superficie de ataque creando una plétora de nuevos caminos y aberturas a través de las cuales los atacantes pueden acceder.

En el mundo actual, los adversarios de todos los niveles de experiencia se están enfocando en CI/CD porque se han dado cuenta de que los servicios de CI/CD ofrecen una forma efectiva de acceder a los activos más valiosos de una organización. La industria está experimentando un aumento considerable en la cantidad de eventos y vectores de ataque que se concentran en explotar agujeros en el ecosistema CI/CD, así como un aumento en su frecuencia y volumen.

¡ El marco de los “ 10 principales riesgos de seguridad de CI/CD ” se adoptó oficialmente como un proyecto de OWASP y recibió el nombre de “OWASP Top 10 CI/CD Security Risks”!

El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) y más específicamente el marco de los “10 Principales Riesgos de Seguridad de Aplicaciones Web” ha sido un factor significativo en el desarrollo de la industria de seguridad de aplicaciones. Esto ha sido cierto en términos de cómo se han formado metodologías y patrones de pensamiento así como también cómo se ha configurado el panorama de las tecnologías de seguridad de aplicaciones web.

Hasta el día de hoy OWASP continúa desempeñando un papel fundamental en la configuración de la trayectoria del dominio de seguridad de aplicaciones (AppSec) a través de una comunidad e infraestructura increíbles que permiten a los profesionales de seguridad de aplicaciones (AppSec) de todo el mundo crear compartir y difundir conocimientos sobre todo lo relacionado con la seguridad de aplicaciones (AppSec).

EL PROYECTO CONOCIDO COMO “LOS 10 PRINCIPALES RIESGOS DE SEGURIDAD DE CI/CD”.

Este proyecto guía a los defensores a través del proceso de identificación de áreas objetivo con el fin de salvaguardar su ecosistema de CI/CD. Es el producto de un estudio considerable de los vectores de ataque vinculados con CI/CD así como de la investigación de brechas de alto perfil y debilidades de seguridad en los sistemas existentes.

CICD-SEC-1: MECANISMOS DE CONTROL DE FLUJO INSUFICIENTES

CICD-SEC-2: GESTIÓN INADECUADA DE ACCESO E IDENTIDAD

CICD-SEC-3: ABUSO DE LA CADENA DE DEPENDENCIA

CICD-SEC-4: EJECUCIÓN DE TUBERÍA ENVENENADA (PPE)

CICD-SEC-5: PBAC (CONTROLES DE ACCESO BASADOS ​​EN TUBERÍAS) INSUFICIENTES

CICD-SEC-6: HIGIENE DE CREDENCIAL INSUFICIENTE

CICD-SEC-7: CONFIGURACIÓN DEL SISTEMA INSEGURO

CICD-SEC-8: USO NO CONTROLADO DE SERVICIOS DE TERCEROS

CICD-SEC-9: VALIDACIÓN INCORRECTA DE LA INTEGRIDAD DE LOS ARTEFACTOS

CICD-SEC-10: REGISTRO Y VISIBILIDAD INSUFICIENTES