Wie sicherst du CI/CD-Pipelines ab?

Question

Accepted Answer

CI/CD-Pipelines sind **sicherheitskritisch** — sie haben Zugriff auf Quellcode, Credentials und Production-Deployments. Eine kompromittierte Pipeline kann katastrophal sein (Supply-Chain-Angriffe). Das Absichern von Pipelines umfasst den Schutz von Secrets, der Pipeline selbst, Abhängigkeiten und der produzierten Artefakte.

## Warum es wichtig ist

```text
Pipelines are a HIGH-VALUE TARGET — they have powerful access:
  → SOURCE CODE, deployment CREDENTIALS, production ACCESS, secrets
  → a compromised pipeline can inject malicious code into your software (SUPPLY CHAIN
    ATTACK — affecting all your users) or steal credentials/deploy malicious versions
→ Real, serious attacks (SolarWinds, etc.) targeted build/CI systems.
```

## Absicherung der Pipeline

```text
✓ SECRETS — secure secrets store/manager; never hardcoded; short-lived creds (OIDC);
  least privilege for pipeline credentials
✓ ACCESS CONTROL — restrict who can modify pipelines/approve deploys; protect main;
  require reviews for pipeline changes (pipeline config IS code to protect)
✓ ISOLATE — ephemeral, isolated build environments (don't reuse dirty runners);
  limit what the pipeline can access (least privilege)
✓ Protect SELF-HOSTED RUNNERS (a common attack vector); keep tooling patched
```

## Supply-Chain-Sicherheit

```text
✓ SCAN DEPENDENCIES — for known vulnerabilities (SCA: Dependabot, Snyk); pin versions;
  beware malicious/typosquatted packages
✓ SCAN code (SAST) and container IMAGES (vulnerabilities)
✓ Verify INTEGRITY — sign artifacts/commits; SBOM (software bill of materials);
  provenance (SLSA framework) — verify what's built and from what
✓ Trusted base images and sources; minimize third-party actions/plugins (vet them)
→ SHIFT SECURITY LEFT — catch issues early in the pipeline.
```

## Warum es wichtig ist

Das Verständnis für die Absicherung von CI/CD-Pipelines ist wichtiges Senior-Level-Wissen, da Pipelines **sicherheitskritische, hochwertige Ziele** sind, deren Kompromittierung katastrophal sein kann. Daher ist es essentielles Sicherheitswissen für modernes Delivery.

Pipelines haben **umfassenden Zugriff** — Quellcode, Deployment-Credentials, Production-Zugriff und Secrets — was sie zu einem Prime Target macht: Eine kompromittierte Pipeline kann **bösartigen Code in deine Software einschleusen** (einen **Supply-Chain-Angriff**, der alle deine Nutzer betrifft) oder Credentials stehlen und böswillige Versionen deployen.

Das ist nicht theoretisch — **echte, ernsthafte Angriffe (wie SolarWinds) zielten auf Build/CI-Systeme ab**, was Pipeline-Sicherheit zu einer echten, hochriskanten Sorge macht.

Das Verständnis, wie man **die Pipeline absichert** — Secrets sicher verwaltet (Secrets Stores, kurzlebige Credentials, Least-Privilege), **Zugriffskontrolle** (Einschränkung, wer Pipelines ändern und Deployments genehmigen kann, Schutz der Pipeline-Konfiguration als kritischen Code, erfordert Reviews) und **Isolation** (ephemere Build-Umgebungen, Schutz von Self-Hosted-Runnern, die ein häufiges Angriffsvektoren sind) — adressiert die eigene Sicherheit der Pipeline.

Das Verständnis von **Supply-Chain-Sicherheit** wird zunehmend kritisch: **Scanning von Abhängigkeiten** auf Sicherheitslücken (und Vorsicht vor böswilligen/Typosquatting-Paketen), Code- und Image-Scanning, und **Integritätsverifikation** (Signierung von Artefakten, SBOMs, Provenance via Frameworks wie SLSA) — Schutz vor den Supply-Chain-Angriffen, die eine große Bedrohung geworden sind.

Das Prinzip des **Shifting Security Left** (das Abfangen von Problemen früh in der Pipeline) bindet alles zusammen.

Da CI/CD-Pipelines sicherheitskritisch sind (mit umfassendem Zugriff, dessen Kompromittierung katastrophale Supply-Chain-Angriffe ermöglicht, wie echte Vorfälle zeigen), und da ihre Absicherung (Secrets, Zugriffskontrolle, Isolation und Supply-Chain-Sicherheit) essentiell ist, um diese ernsthafte Bedrohung zu verhindern, ist das Verständnis für die Absicherung von CI/CD-Pipelines wichtiges, sicherheitskritisches Senior-Level-Wissen — ein hochpriorisierter Bereich angesichts der realen und wachsenden Bedrohung durch Supply-Chain-Angriffe, was die Sicherheitsverantwortung widerspiegelt, die von Senior-Rollen beim Aufbau und Schutz von Delivery-Pipelines erwartet wird.