Angara Security запускает тестирование на проникновение процессов CI/CD

Компания Angara Security, российский провайдер услуг в сфере кибербезопасности, представила новую услугу на рынке — анализ защищенности процессов CI/CD. Специализированный аудит инфраструктуры разработки уже был успешно протестирован на реальных проектах, доказав свою эффективность в выявлении критических рисков, связанных с компрометацией цепочки поставки программного обеспечения. В условиях стремительного развития технологий, которые опережают меры безопасности, новая услуга предлагает решение: вместо проверки уже готового кода, она контролирует весь процесс его создания, тестирования и доставки.

Филипп Скоков, руководитель направления анализа защищенности веб-приложений Angara Security, отметил, что CI/CD является сердцем современной разработки, и его защита определяет, сможет ли компания безопасно и оперативно вносить изменения без риска компрометации. Традиционный пентест фокусируется на проверке внешнего периметра, но в экосистеме DevOps под угрозой оказывается не только код, но и сама среда разработки. Angara Security стремится не только обнаруживать уязвимости, но и помогать клиентам интегрировать безопасность в процессы разработки на самых ранних этапах.

В условиях непрерывной разработки ключевыми объектами атак становятся сервисные аккаунты, секреты доступа, сторонние скрипты и плагины, а также артефакты и конфигурации конвейеров. Компрометация любого из этих элементов может привести к внедрению вредоносного кода в релиз без обнаружения. Риски в цепочке поставки ПО стремительно увеличиваются. Согласно данным Sonatype, только в первом квартале 2025 года было выявлено около 18 тысяч вредоносных open source-пакетов, а общий объем вредоносного кода в открытых репозиториях вырос на 26% по сравнению с предыдущим кварталом. Одним из последних громких инцидентов стала атака на библиотеку Axios, популярную в экосистеме JavaScript, что создало риски для миллионов разработчиков по всему миру.

Анализ защищенности CI/CD представляет собой специализированный аудит инфраструктуры разработки, направленный на выявление возможностей несанкционированного доступа к секретам, подмены шагов сборки, изменения артефактов, повышения привилегий и внедрения вредоносного кода в пайплайн. В отличие от стандартного пентеста, эта услуга охватывает полный цикл поставки ПО, включая системы управления исходным кодом (SCM), CI-серверы и runner-ноды, системы управления секретами и хранилища артефактов, а также интеграции с облачными и внешними сервисами. Методология аудита сочетает практики атакующего моделирования, ручное тестирование и автоматизированный анализ конфигураций и зависимостей.

В ходе пилотных проектов команда Angara Security выявила ряд критических сценариев, характерных для многих компаний. Например, в одном из репозиториев были обнаружены учетные данные DevOps-инженера с максимальными привилегиями, что создавало возможность полной компрометации инфраструктуры разработки. Также были выявлены недостатки в конфигурации политик безопасности конвейеров: в Azure DevOps Server ограничения на запуск кастомных пайплайнов обошли через механизм тегирования runner-нод, что позволило атакующему получить контроль над агентами сборки. Кроме того, отсутствие проверки подписи артефактов позволяло модифицировать сборку перед публикацией в реестр, создавая риск доставки вредоносного кода в продуктивную среду под видом легитимного релиза. Поскольку CI/CD напрямую связан с доступом к репозиториям, облачной инфраструктуре и реальным рабочим системам, инциденты на различных этапах сборки и выпуска ПО могут иметь более серьезные последствия, чем уязвимости в конечных приложениях.

Источник