DevOps Fortgeschritten
CI/CD Security — Pipeline-Sicherheit¶
CI/CDSecurityDevSecOpsSupply Chain 5 Min. Lesezeit
Sicherheits-Best-Practices für CI/CD-Pipelines. Secret Management, Supply Chain Security und SLSA.
Secret Management¶
- Niemals Secrets im Code oder als Umgebungsvariablen in der CI-Konfiguration
- Nutzen Sie native Secret Stores: GitHub Secrets, GitLab CI Variables (protected + masked)
- Für Fortgeschrittene: HashiCorp Vault, AWS Secrets Manager
- Secrets regelmäßig rotieren
- Zugriffe auditieren
Supply Chain Security¶
# Dependency Scanning
- trivy fs . --scanners vuln
- npm audit / pip-audit / govulncheck
# SBOM-Generierung
- syft . -o spdx-json > sbom.json
# Image Signing (Cosign)
cosign sign --key cosign.key registry.example.com/app:v1.0
cosign verify --key cosign.pub registry.example.com/app:v1.0
# SLSA Provenance
- slsa-verifier verify-artifact app.tar.gz \
--provenance-path provenance.json \
--source-uri github.com/org/app
Pipeline Hardening¶
- Least Privilege: CI-Runner hat nur notwendige Berechtigungen
- Ephemeral Runners: Sauberer Zustand für jeden Job
- Actions/Images pinnen: SHA statt Tags (
actions/checkout@abc123) - Branch Protection: Reviews und Status Checks erforderlich
- Audit Log: Wer hat was wann ausgeführt
Zusammenfassung¶
Die CI/CD-Pipeline ist ein kritischer Angriffsvektor. Secret Management, Supply Chain Security und Pipeline Hardening sind das Minimum für Produktionsumgebungen.
Brauchen Sie Hilfe bei der Implementierung?¶
Unser Team hat Erfahrung mit dem Entwurf und der Implementierung moderner Architekturen. Wir helfen Ihnen gerne.