Integrazione continua Considerazioni sulla sicurezza SaaS

4

In che modo i prodotti SaaS di CI si proteggono dai cattivi attori? Quando un server CI crea e verifica codice arbitrario, come possiamo essere sicuri che questo codice non sia un qualche tipo di exploit? Le aziende di CI come Travis sono intrinsecamente imperfette? Immagino che abbiano risolto questo apparente exploit arbitrario di esecuzione del codice, ma non ho idea di come sarebbero andati a farlo. Assegnano solo una VM a ogni utente? Se è così, questa sembra una cattiva opzione a causa del sovraccarico della VM (per non parlare della possibilità di sfuggire alla VM).

In che modo i prodotti SaaS di CI si occupano di questo?

    
posta macsj200 07.04.2016 - 09:16
fonte

1 risposta

1

Dipenderà dal SaaS, ma potresti fare la domanda sbagliata. I problemi sono mitigati dal tuo self-hosting? Probabilmente peggiorano drasticamente.

CI è intrinsecamente problematico solo quando si dimentica ciò che sta facendo e non riesce a proteggerlo correttamente, indipendentemente dal fatto che sia SaaS o auto-ospitato. Se sei il bersaglio e hai build procedures di codice maligno su un SaaS, probabilmente sei fortunato. In caso di successo, vengono pwned. Non tu. Se si dispone di codice malevolo che è stato commesso ai repository di origine inosservato, e lo si distribuisce, probabilmente ci si fa male. I servizi non lo rileveranno.

Che cosa stai proteggendo? Il tuo codice sorgente o i tuoi server? Definire il rischio e determinare le procedure di watchguard per il codice sorgente per impedire l'introduzione di codice malizioso.

    
risposta data 30.08.2016 - 23:43
fonte

Leggi altre domande sui tag