Supply chain атаки — один из самых опасных векторов 2024-2026. SolarWinds, Codecov, Log4j — все эти инциденты показали: взломать один инструмент в цепочке = скомпрометировать тысячи компаний.
Почему CI/CD — лакомая цель
Pipeline имеет доступ ко всему: исходному коду, секретам, production-серверам. Один вредоносный коммит — и атакующий внутри периметра.
Основные угрозы
- Compromised dependencies — вредоносные пакеты в npm/PyPI/Maven
- Secrets exposure — ключи в логах, env-переменных
- Insecure runners — shared runners без изоляции
- Misconfigured permissions — избыточные права у CI-токенов
Защита: чек-лист
- Pin dependencies по хешам (не только версиям)
- Используйте private registry с проверкой сигнатур
- Self-hosted runners с ephemeral containers
- Least-privilege токены с ротацией
- SAST/DAST в каждом PR
- Audit logs: кто, когда, что изменил
Инструменты
Snyk, Dependabot, Trivy — сканирование зависимостей. SLSA framework — стандарт защиты supply chain. Sigstore/Cosign — подпись артефактов.
Главное правило: не доверяйте ничему по умолчанию. Каждый этап pipeline должен верифицировать входные данные.