18 000 вредоносных пакетов в открытых репозиториях за квартал заставили бизнес пересмотреть подходы к защите. Компания Angara Security представила решение для анализа защищенности CI/CD-процессов, которое позволяет выявлять риски компрометации ПО еще на этапе сборки, когда традиционные методы пентеста уже не справляются с угрозами.
Традиционный пентест обычно фокусируется на поиске уязвимостей в уже готовых веб-приложениях, оставляя саму «кухню» разработки без должного внимания. Однако сегодня именно инфраструктура DevOps становится основной целью. Как отмечает Филипп Скоков, руководитель направления анализа защищенности Angara Security, компрометация среды разработки позволяет злоумышленникам внедрять вредоносный код в релизы незаметно для классических систем защиты.Риски инфраструктуры DevOps
Основными точками входа для атак становятся сервисные аккаунты, забытые секреты в коде и сторонние скрипты. Статистика подтверждает серьезность угрозы: объем вредоносного кода в открытых библиотеках вырос на 26% в начале 2025 года. Методология нового аудита включает проверку систем управления исходным кодом, CI-серверов и облачных интеграций. Это позволяет обнаружить возможности для несанкционированного изменения артефактов или повышения привилегий внутри конвейера.В ходе апробации услуги эксперты выявили критические сценарии, которые встречаются повсеместно. Например, в одном из проектов были найдены учетные данные администратора с полным доступом к инфраструктуре, а в Azure DevOps удалось обойти ограничения на запуск кастомных пайплайнов. Отсутствие проверки подписей артефактов также остается массовой проблемой — это позволяет подменить чистую сборку вирусом перед самой отправкой клиенту. Поскольку CI/CD тесно связан с рабочими серверами и облаками, взлом на этом этапе обходится компаниям значительно дороже, чем любая ошибка в коде конечного приложения.
Комментарии (0)
Пока нет комментариев. Будьте первым!