Kako osigurati CI/CD pipeline?

Question

Accepted Answer

CI/CD pipeline su **kritični za sigurnost** — imaju pristup izvornom kodu, kredencijalima i produkcijskom primjeni. Kompromitiran pipeline može biti katastrofalan (napadi na lanac opskrbe). Osiguranje pipeline-a uključuje zaštitu tajni, samog pipeline-a, ovisnosti i proizvedenih artefakata.

## Zašto je sigurnost pipeline-a kritična

```text
Pipelines are a HIGH-VALUE TARGET — they have powerful access:
  → SOURCE CODE, deployment CREDENTIALS, production ACCESS, secrets
  → a compromised pipeline can inject malicious code into your software (SUPPLY CHAIN
    ATTACK — affecting all your users) or steal credentials/deploy malicious versions
→ Real, serious attacks (SolarWinds, etc.) targeted build/CI systems.
```

## Osiguranje pipeline-a

```text
✓ SECRETS — secure secrets store/manager; never hardcoded; short-lived creds (OIDC);
  least privilege for pipeline credentials
✓ ACCESS CONTROL — restrict who can modify pipelines/approve deploys; protect main;
  require reviews for pipeline changes (pipeline config IS code to protect)
✓ ISOLATE — ephemeral, isolated build environments (don't reuse dirty runners);
  limit what the pipeline can access (least privilege)
✓ Protect SELF-HOSTED RUNNERS (a common attack vector); keep tooling patched
```

## Sigurnost lanca opskrbe

```text
✓ SCAN DEPENDENCIES — for known vulnerabilities (SCA: Dependabot, Snyk); pin versions;
  beware malicious/typosquatted packages
✓ SCAN code (SAST) and container IMAGES (vulnerabilities)
✓ Verify INTEGRITY — sign artifacts/commits; SBOM (software bill of materials);
  provenance (SLSA framework) — verify what's built and from what
✓ Trusted base images and sources; minimize third-party actions/plugins (vet them)
→ SHIFT SECURITY LEFT — catch issues early in the pipeline.
```

## Zašto je to važno

Razumijevanje kako osigurati CI/CD pipeline je važno znanje na razini seniora jer su pipeline kritični za sigurnost, visokovrijedni ciljevi čija kompromitacija može biti katastrofalna, pa je bitno znanje o sigurnosti za modernu dostavu.

Pipeline imaju **moćan pristup** — izvorni kod, kredencijale za primjenu, pristup produkciji i tajne — što ih čini primarnim ciljem: kompromitiran pipeline može **ubaciti zlonamjerni kod u vašu aplikaciju** (**napad na lanac opskrbe** koji utječe na sve vaše korisnike) ili ukrasti kredencijale i primjeniti zlonamjerne verzije.

Ovo nije teoretsko — **pravi, ozbiljni napadi (poput SolarWinds-a) ciljali su sustave izgradnje/CI**, što čini sigurnost pipeline-a pravom, visokorizičnom brigom.

Razumijevanje kako **osigurati pipeline** — sigurno upravljanje tajnama (skladišta tajni, kratkotrajna kredencijala, princip najmanje privilegije), **kontrola pristupa** (ograničavanje tko može mijenjati pipeline-e i odobravati primjene, zaštita konfiguracije pipeline-a kao kritičnog koda, zahtijevanje pregleda) i **izolacija** (efemernog okruženja za izgradnju, zaštita samoposlužnih runner-a koji su čest vektor napada) — rješava sigurnost samog pipeline-a.

Razumijevanje **sigurnosti lanca opskrbe** je sve kritičnije: **skeniranje ovisnosti** za ranjivosti (i pazite na zlonamjerne/tiposkveterske pakete), skeniranje koda i slika, i **provjera integriteta** (potpisivanje artefakata, SBOM-ovi, dokazivanje porijekla preko okvira poput SLSA) — zaštita od napada na lanac opskrbe koji su postali glavna prijetnja.

Princip **pomicanja sigurnosti ulijevo** (pronalaženje problema rano u pipeline-u) to sve povezuje.

Budući da su CI/CD pipeline kritični za sigurnost (s moćnim pristupom čija kompromitacija omogućava katastrofalne napade na lanac opskrbe, što pokazuju pravi incidenti), i budući da je njihovo osiguravanje (tajne, kontrola pristupa, izolacija i sigurnost lanca opskrbe) bitno za sprječavanje tih ozbiljnih prijetnji, razumijevanje kako osigurati CI/CD pipeline je važno, kritično za sigurnost znanje na razini seniora — visoko prioritetan område s obzirom na stvarnu i rastuću prijetnju od napada na lanac opskrbe, što odražava odgovornost za sigurnost očekivanu za uloge seniora koje izgrađuju i štite pipeline-e dostave.