CI/CDパイプラインはセキュリティ上重要です。ソースコード、認証情報、本番デプロイメントへのアクセスを持っています。パイプラインが侵害されると、サプライチェーン攻撃など壊滅的な結果になる可能性があります。パイプラインのセキュリティ保護には、シークレット、パイプライン自体、依存関係、および生成されたアーティファクトの保護が必要です。
なぜ重要なのか
text
Pipelines are a HIGH-VALUE TARGET — they have powerful access:
→ SOURCE CODE, deployment CREDENTIALS, production ACCESS, secrets
→ a compromised pipeline can inject malicious code into your software (SUPPLY CHAIN
ATTACK — affecting all your users) or steal credentials/deploy malicious versions
→ Real, serious attacks (SolarWinds, etc.) targeted build/CI systems.
パイプラインのセキュリティ保護
text
✓ SECRETS — secure secrets store/manager; never hardcoded; short-lived creds (OIDC);
least privilege for pipeline credentials
✓ ACCESS CONTROL — restrict who can modify pipelines/approve deploys; protect main;
require reviews for pipeline changes (pipeline config IS code to protect)
✓ ISOLATE — ephemeral, isolated build environments (don't reuse dirty runners);
limit what the pipeline can access (least privilege)
✓ Protect SELF-HOSTED RUNNERS (a common attack vector); keep tooling patched