Ключевые моменты
- Обеспечение безопасности CI/CD требует использования инструментов, специально предназначенных для конкретных этапов; ни одна платформа не способна охватить все риски, связанные с конвейером.
- Раскрытие секретных данных остается основным вектором нарушений, причем длительные периоды устранения уязвимостей активно используются злоумышленниками.
- SAST, SCA, DAST и IAST обращаются к разным уровням уязвимостей и должны использоваться комбинировано.
- Целостность артефактов благодаря подписи и отслеживанию происхождения с помощью SLSA предотвращает подделку сборки и развертывания.
- Мониторинг во время выполнения (CNAPP) имеет решающее значение, поскольку риски продолжают развиваться после развертывания.
- Применение блокирующих шлюзов безопасности и принципа минимальных привилегий напрямую снижает уязвимость к эксплоитам.
Безопасность конвейера CI/CD не сводится к выбору одного инструмента. Конвейер охватывает исходный код, системы сборки, реестры контейнеров, конфигурации инфраструктуры и рабочие нагрузки в производственной среде. Каждый этап сопряжен с различными рисками и требует применения разных мер контроля. В данном руководстве рассматривается полный набор инструментов для обеспечения безопасности конвейера CI/CD, отраслевые стандарты, регулирующие их использование, а также передовые практики безопасности CI/CD, обеспечивающие их эффективную работу в производственной среде.
Согласно отчету Datadog «Состояние DevSecOps в 2026 году»1, 87 % организаций эксплуатируют в производственной среде как минимум одну известную уязвимость, поддающуюся взлому. Отчет Verizon «Расследования утечек данных 2025»2 показал, что токены CI/CD составляют 32 % всех секретных данных, раскрытых в публичных репозиториях, при этом среднее время устранения составляет 94 дня. Это трехмесячное окно уязвимости, в то время как злоумышленники круглосуточно запускают автоматические сканеры учетных данных против публичных репозиториев.
- 87 % организаций имеют по крайней мере одну известную уязвимость, которую можно использовать, в развернутых сервисах
- 32 % всех секретных данных, утекающих из публичных репозиториев, — это токены CI/CD и разработки
- 71 % рабочих процессов GitHub Actions остаются полностью незакрепленными
- Среднее время устранения утечки секретного токена CI/CD в публичном репозитории составляет 94 дня
Инструменты безопасности конвейера CI/CD по этапам
Каждый этап конвейера CI/CD сопряжён с определёнными рисками. Исходный код может содержать логические ошибки. Зависимости могут нести в себе известные уязвимости (CVE). Системы сборки подвержены взлому. Образы контейнеров содержат уязвимости на уровне ОС. Файлы «инфраструктура как код» могут содержать ошибки в настройках. Развёрнутые рабочие нагрузки продолжают накапливать риски после запуска. Ни одна платформа не способна охватить все эти аспекты. Приведённые ниже инструменты безопасности CI/CD предназначены для решения задач на каждом конкретном этапе.
1 SAST
Статическое тестирование безопасности приложений (SAST) представляет собой статический анализ исходного кода, проводимый до начала его выполнения. Оно позволяет выявлять жестко запрограммированные конфиденциальные данные, небезопасные шаблоны, уязвимости к внедрению кода и недостатки безопасности на ранних этапах разработки, когда затраты на их устранение минимальны.
2 SCA
Анализ состава программного обеспечения (SCA) проверяет сторонние библиотеки и компоненты с открытым исходным кодом на соответствие базам данных CVE и каталогу CISA KEV3. Только 21 % организаций обладают полной видимостью зависимостей. SCA напрямую устраняет этот пробел.
3 DAST
Динамическое тестирование безопасности приложений (DAST) проверяет работающие приложения на наличие уязвимостей, которые не может выявить статический анализ: обход аутентификации, уязвимости, связанные с инъекцией, некорректная обработка сеансов. SAST работает с кодом. DAST работает с поведением. Оба подхода необходимы.
4 IAST
Интерактивное тестирование безопасности приложений (IAST) моделирует работу приложения во время выполнения функциональных тестов. Оно отслеживает поведение изнутри запущенного процесса, сочетая статические и динамические сигналы. Дает меньше ложных срабатываний, чем SAST или DAST по отдельности.
5 Обнаружение секретных данных
Сканирует репозитории кода, файлы YAML конвейера, образы контейнеров и историю фиксаций на наличие открытых ключей API, токенов и паролей. Должно запускаться при каждой фиксации и слиянии, а не только при первоначальной отправке. Секретные данные также появляются в результате автоматических слияний и обновлений зависимостей.
6 Управление секретами
Заменяет статические учетные данные в конфигурациях конвейеров на краткосрочные секреты, извлекаемые во время выполнения из хранилища. Устраняет основную причину 94-дневного периода уязвимости учетных данных: долгосрочные токены, которые бесконечно хранятся в переменных среды и конфигурационных файлах.
7 Сканирование контейнеров
Проводит сканирование образов контейнеров на наличие известных уязвимостей в пакетах ОС и библиотеках приложений до того, как образ попадает в реестр. Предотвращает попадание образов с активными CVE в производственные рабочие нагрузки.
8 Подпись образа
Создает криптографические подтверждения, которые связывают образ контейнера с его проверенной историей сборки. Контроллеры доступа могут затем отклонять неподписанные образы на этапе развертывания, блокируя подстановку артефактов перед выполнением.
9 Сканирование IaC
Сканирование безопасности «инфраструктура как код» обнаруживает ошибки конфигурации в Terraform, манифестах Kubernetes, CloudFormation и диаграммах Helm до развертывания. Исправить чрезмерно разрешительные роли IAM и открытые группы безопасности гораздо дешевле, пока они остаются текстовыми файлами.
10 CNAPP
Платформы защиты облачных приложений обеспечивают безопасность не только на этапе разработки, но и в производственной среде. CSPM контролирует конфигурацию облачной инфраструктуры. CWPP обеспечивает защиту запущенных рабочих нагрузок. Непрерывный мониторинг после развертывания позволяет поддерживать высокий уровень безопасности организации, что выходит за рамки возможностей сканирования на этапе сборки.
SAST, DAST и IAST: Статический анализ кода выявляет ошибки в исходном коде. Динамическое тестирование выявляет уязвимости в работающем приложении. Интерактивное тестирование наблюдает за реальным выполнением во время функциональных тестов. Каждый из этих подходов охватывает отдельную область уязвимостей. Использование только одного типа означает наличие предсказуемых «слепых зон» в безопасности приложения.
Стандарты безопасности конвейеров CI/CD: NIST, SLSA и OWASP
Существует ряд авторитетных методологий, определяющих подходы к обеспечению безопасности конвейеров CI/CD как на управленческом, так и на техническом уровнях. Они фигурируют в отчетах по аудиту соответствия, федеральных требованиях к закупкам программного обеспечения и оценках безопасности поставщиков. Каждая из них охватывает свой уровень.
В документе NIST SP 800-218 определены цели, которые должен достигать процесс разработки. В документе OWASP CI/CD Top 10 эти цели преобразованы в конкретные меры контроля конвейера. SLSA обеспечивает уровень криптографической проверки для обеспечения целостности сборки и отслеживания происхождения артефактов. В совокупности: управление, реализация и проверка.
Передовые практики обеспечения безопасности конвейера CI/CD: Как защитить свой конвейер
Приведенные ниже практики направлены на устранение уязвимостей, которые, согласно данным об угрозах, наиболее активно используются злоумышленниками. Каждая из них напрямую соотносится с категориями инструментов, указанными выше.
Закрепить действия рабочего процесса и зависимости за конкретным SHA-кодом коммита
Когда конвейер ссылается на тег actions/checkout@v4, он запускает код, находящийся под этим тегом на момент выполнения. Злоумышленник, получивший доступ к учетной записи сопровождающего, может незаметно переместить этот тег. В результате при следующем запуске конвейер будет выполнять код, контролируемый злоумышленником, при этом никаких изменений в файлах рабочего процесса не будет видно.
Привязка к полному SHA, например, в actions/checkout
@11bd71901bbe5b1630ceea73d27597364c9af683 гарантирует, что выполнение соответствует тому, что было проверено и одобрено. Взлом GitHub Action Xygeni в марте 2026 года был осуществлён именно с использованием этого шаблона: с помощью похищенных учетных данных изменяемый тег был перемещён в коммит с бэкдором, что затронуло все репозитории, в которых он упоминался. Исправление в обоих случаях одинаковое: одна строка на действие, нулевые затраты.
Превратите сканирование безопасности в блокирующие этапы конвейера
Когда сканирование SAST выявляет критическую уязвимость, а сборка тем не менее проходит успешно, разработчики приходят к выводу, что эти предупреждения не имеют значения. В быстро работающих конвейерах предупреждения, не приводящие к блокировке, систематически игнорируются. Проверки безопасности в CI/CD, носящие исключительно рекомендательный характер, не изменяют такого поведения.
Обнаруженные в ходе статического тестирования безопасности приложений, анализа состава программного обеспечения и сканирования IaC уязвимости высокой степени опасности, которые могут быть использованы злоумышленниками, должны приводить к остановке сборки. Уязвимости средней степени опасности сопровождаются предупреждением. Все остальные случаи фиксируются в журнале. Блокирующий фильтр позволяет принимать решение на том этапе, когда устранение проблемы обходится дешевле всего.
Замените статические учетные данные на токены с ограниченным сроком действия
Количество API-ключей, хранящихся в качестве переменных среды CI/CD, постоянно растет. Большинство из них никогда не обновляются. Согласно отчету Verizon DBIR за 2025 год, средний срок устранения уязвимостей, связанных с секретными данными, обнаруженными в публичных репозиториях, составляет 94 дня. Для ключей, которые никогда не выявлялись, сроки устранения уязвимостей вообще отсутствуют.
Федерация идентификационных данных OIDC полностью исключает хранение учетных данных. GitHub Actions и GitLab CI поддерживают эту технологию на уровне платформы: платформа генерирует кратковременный токен, действующий только в рамках конкретного задания и теряющий силу после его выполнения. Украсть нечего, поскольку никакие данные не сохраняются. HashiCorp Vault, AWS Secrets Manager и Azure Key Vault обеспечивают динамическую передачу секретных данных для сервисов, которые не могут напрямую использовать OIDC.
Подписывайте результаты сборки и проверяйте их перед развертыванием
Неподписанный образ контейнера в реестре не имеет криптографической привязки к сборке, в результате которой он был создан. В период между отправкой в реестр и извлечением из кластера он может быть подменен на вредоносную версию.
Подписка артефактов с помощью Cosign и генерация сертификатов происхождения SLSA позволяют создать поддающуюся проверке цепочку от исходного коммита до запущенного контейнера. Контроллеры доступа, такие как Kyverno или OPA Gatekeeper, обеспечивают, чтобы в производственную среду попадали только подписанные и заверенные образы. Подмена артефактов перестает быть незаметной и блокируется на входе.
Создавайте спецификацию программного обеспечения при каждой сборке
Согласно отчету Datadog DevSecOps Report 20261, средний отставание производственных библиотек от последней основной версии составляет 278 дней. Библиотеки 2023 года содержат в среднем 3,8 уязвимости на каждый сервис. Когда появляется новый CVE для компонента, расположенного на третьем уровне зависимостей, организации, не имеющие спецификации программного обеспечения, вынуждены вручную проверять каждую кодовую базу, чтобы определить, какие сервисы затронуты.
Генерация списка компонентов (SBOM) в формате CycloneDX или SPDX на этапе сборки и его интеграция в систему непрерывного мониторинга уязвимостей CVE превращает процесс проверки «затронуты ли мы?» из занимающего несколько дней задачи в запрос, ответ на который поступает за считанные секунды.
Применяйте контроль доступа на основе ролей ко всем идентификаторам конвейера
Права доступа учетных записей служб конвейера расширяются за счет добавлений, которые никогда не удаляются. Задаче, выполняющей компиляцию исходного кода, не требуется доступ на запись к производственным системам, но многие из них все равно обладают такими правами. Согласно отчету Cloud Security Alliance «Состояние безопасности SaaS в 2025 году»4, 46 % организаций не могут осуществлять мониторинг своих нечеловеческих идентификаторов.
Любое разрешение с чрезмерными полномочиями — это потенциальная угроза горизонтального проникновения после взлома. Ограничение доступа для каждого задания до минимально необходимого уровня и регулярная проверка настроек доступа позволяют свести к минимуму последствия взлома учетных данных.
Расширьте сферу обеспечения безопасности от этапа сборки до этапа эксплуатации
Сканирование на этапе сборки дает результат, актуальный только на определенный момент времени. После развертывания появляются новые уязвимости (CVE), конфигурации меняются, а поведение системы во время работы может изменяться. То, что было одобрено на этапе сборки шесть месяцев назад, может не отражать профиль рисков текущей рабочей среды.
Платформы CNAPP с функциями CSPM и CWPP обеспечивают непрерывный мониторинг после передачи проекта по конвейеру. Fidelis Halo интегрируется с рабочими процессами CI/CD через API и механизмы автоматизации, что позволяет согласовать проверки безопасности и соответствия требованиям с процессами развертывания, а также расширить защиту на этап выполнения в средах AWS, Azure, локальных и гибридных.
Как взаимодействуют инструменты обеспечения безопасности конвейера CI/CD
Обеспечение безопасности конвейера CI/CD — это многоуровневая задача. SAST выявляет уязвимости в исходном коде. SCA выявляет уязвимости в сторонних библиотеках. Обнаружение и управление секретными данными устраняют риск утечки учетных данных, который, согласно отчету Verizon DBIR, является основным каналом проникновения. Сканирование контейнеров и подпись образов обеспечивают отслеживаемость цепочки от сборки до выполнения. Сканирование IaC выявляет ошибки в настройках до развертывания инфраструктуры. CNAPP расширяет охват за пределы развертывания, охватывая производственную среду.
Согласно данным о киберугрозах Cyble, опубликованным Industrial Cyber5, в октябре 2025 года количество атак на конвейеры CI/CD через цепочку поставок достигло нового рекордного уровня, превысив предыдущий пик более чем на 30 %. Эти атаки целенаправленно используют уязвимости во взаимодействии между различными категориями инструментов. В пакет npm внедряется вредоносный код, предназначенный для сбора учетных данных
Ряд средств управления на уровне платформы также повышают общий уровень безопасности конвейера без необходимости использования дополнительных инструментов:
- Защита ветвей с обязательной проверкой кода на всех ветвях, запускающих сборку, устраняет риск, связанный с недостаточными механизмами контроля потока, описанный в OWASP CI/CD SEC-1
- Секретные данные, ограниченные конфигурацией среды, предотвращают доступ конвейеров промежуточной среды к учетным данным производственной среды и наоборот
- Подписка коммитов создает проверенную запись об идентичности для каждого изменения кода, поступающего в репозиторий
- Сканирование IaC в качестве блокирующей проверки перед развертыванием выявляет ошибки в конфигурации манифестов Terraform и Kubernetes до их применения
- Оповещения конвейера, подключенные к системам SIEM и SOAR, обеспечивают автоматическую локализацию угроз; время между компрометацией учетных данных и нанесением реального ущерба составляет считанные минуты
