Jak zabezpečujete CI/CD pipeline?

Question

Accepted Answer

CI/CD pipeline jsou **bezpečnostně kritické** — mají přístup ke zdrojovému kódu, přihlašovacím údajům a nasazení do produkce. Kompromitovaný pipeline může být katastrofální (útok na supply chain). Zabezpečení pipeline zahrnuje ochranu tajných údajů, samotného pipeline, závislostí a vytvořených artefaktů.

## Proč je zabezpečení pipeline kritické

```text
Pipelines are a HIGH-VALUE TARGET — they have powerful access:
  → SOURCE CODE, deployment CREDENTIALS, production ACCESS, secrets
  → a compromised pipeline can inject malicious code into your software (SUPPLY CHAIN
    ATTACK — affecting all your users) or steal credentials/deploy malicious versions
→ Real, serious attacks (SolarWinds, etc.) targeted build/CI systems.
```

## Zabezpečení pipeline

```text
✓ SECRETS — secure secrets store/manager; never hardcoded; short-lived creds (OIDC);
  least privilege for pipeline credentials
✓ ACCESS CONTROL — restrict who can modify pipelines/approve deploys; protect main;
  require reviews for pipeline changes (pipeline config IS code to protect)
✓ ISOLATE — ephemeral, isolated build environments (don't reuse dirty runners);
  limit what the pipeline can access (least privilege)
✓ Protect SELF-HOSTED RUNNERS (a common attack vector); keep tooling patched
```

## Zabezpečení supply chain

```text
✓ SCAN DEPENDENCIES — for known vulnerabilities (SCA: Dependabot, Snyk); pin versions;
  beware malicious/typosquatted packages
✓ SCAN code (SAST) and container IMAGES (vulnerabilities)
✓ Verify INTEGRITY — sign artifacts/commits; SBOM (software bill of materials);
  provenance (SLSA framework) — verify what's built and from what
✓ Trusted base images and sources; minimize third-party actions/plugins (vet them)
→ SHIFT SECURITY LEFT — catch issues early in the pipeline.
```

## Proč je to důležité

Rozvíjení schopnosti zabezpečovat CI/CD pipeline je důležitou znalostí na senior úrovni, protože pipeline jsou **bezpečnostně kritické, vysoko hodnotné cíle**, jejichž kompromitace může být katastrofální, takže se jedná o zásadní bezpečnostní znalost pro moderní delivery.

Pipeline mají **silný přístup** — zdrojový kód, deployment credentials, přístup k produkci a tajné údaje — což z nich činí prime target: kompromitovaný pipeline může **inject malicious code do vašeho software** (útok na **supply chain** postihující všechny vaše uživatele) nebo ukrást credentials a nasadit malicious verze.

Toto není teoretické — **skutečné, vážné útoky (jako SolarWinds) zaměřovaly se na build/CI systémy**, což činí zabezpečení pipeline opravdovým, vysokorizikovým problémem.

Rozvíjení schopnosti **zabezpečit pipeline** — bezpečná správa tajných údajů (secrets stores, krátkodobé credentials, least privilege), **access control** (omezení toho, kdo může modify pipeline a schvalovat deploy, ochrana pipeline config jako critical code, vyžadování reviews), a **isolation** (ephemeral build environments, ochrana self-hosted runners, které jsou běžným vektorem útoku) — řeší bezpečnost samotného pipeline.

Rozvíjení **supply chain security** je stále kritičtější: **scanning dependencies** na vulnerability (a dávejte si pozor na malicious/typosquatted packages), scanning kódu a images, a **verifikace integrity** (signing artifacts, SBOMs, provenance skrze frameworks jako SLSA) — ochrana proti supply-chain útokům, které se staly hlavní hrozbou.

Princip **shifting security left** (odhalování problémů brzy v pipeline) to všechno spojuje.

Protože CI/CD pipeline jsou bezpečnostně kritické (s silným přístupem, jehož kompromitace umožňuje katastrofální supply chain útoky, jak ukazují skutečné incidenty), a protože jejich zabezpečení (tajné údaje, access control, isolation a supply chain security) je zásadní pro prevenci těchto vážných hrozeb, je pochopení, jak zabezpečit CI/CD pipeline, důležitou, bezpečnostně kritickou znalostí na senior úrovni — vysoká prioritní oblast vzhledem k reálné a rostoucí hrozbě supply chain útoků, což odráží bezpečnostní odpovědnost očekávanou pro senior role, které budují a chránit delivery pipeline.