𝗕𝗲𝘆𝗼𝗻𝗱 𝗦𝗟𝗦𝗔: 𝟵-પગલાંની યોજના સાથે 𝗖𝗜/𝗖𝗗 𝗪𝗼𝗿𝗺𝘀 ને રોકો
તમારી સોફ્ટવેર સુરક્ષાની સીમા તૂટી ગઈ છે.
જૂની પદ્ધતિઓ કન્ટેનર્સ (containers) સ્કેન કરવા અને ખરાબ પેકેજોને બ્લોક કરવા પર ધ્યાન કેન્દ્રિત કરતી હતી. હવે આ પૂરતું નથી. 2025 અને 2026 વચ્ચે, એક નવો ખતરો ઉભરી આવ્યો છે. હુમલાખોરો હવે સ્વાયત્ત વોર્મ્સ (autonomous worms) નો ઉપયોગ કરે છે જે ડેવલપર ટૂલ્સ અને CI/CD પાઇપલાઇન્સને સીધી રીતે ચેપગ્રસ્ત કરે છે.
SLSA Level 3 જેવા પ્રમાણભૂત સાધનો આ ખતરાઓ સામે અંધ છે. તમે કન્ટેનર બનાવતા પહેલા જ એક વોર્મ તમારા ક્રેડેન્શિયલ્સ (credentials) ચોરી શકે છે અથવા તમારા કેશ (cache) ને ઝેરી બનાવી શકે છે. તમારો અંતિમ સુરક્ષા રિપોર્ટ સંપૂર્ણ દેખાઈ શકે છે, ભલે તેમાં હાનિકારક કોડ હોય.
આને ઠીક કરવા માટે, IX Hexbreaker Aegis ફ્રેમવર્કનો ઉપયોગ કરો. આ તમારા લોકલ એન્વાયરમેન્ટ અને AI એજન્ટ્સને સુરક્ષિત કરવા માટે 9-પગલાંની સુરક્ષા છે.
સુરક્ષાના 9 પગલાં:
- AI Agent Sandboxing: AI સહાયકોને અલગ કરેલા Docker કન્ટેનર્સમાં ચલાવો. આ તેમને તમારા હોસ્ટ ક્રેડેન્શિયલ્સ ચોરી કરતા અટકાવે છે.
- Workspace Parsing: તેને લોડ કરતા પહેલા છુપાયેલી કોન્ફિગરેશન ફાઇલોમાં હાનિકારક સૂચનાઓ માટે સ્કેન કરો.
- Ephemeral Environments: તમારા લોકલ મશીનને અલગ કરવા માટે GitHub Codespaces જેવા રિમોટ ડેવ કન્ટેનર્સનો ઉપયોગ કરો.
- OIDC Scope Minimization: તમારા પાઇપલાઇન ટોકન્સને શક્ય તેટલી ઓછી પરવાનગીઓ અને ટૂંકા સમયગાળા માટે આપો.
- Immutable Caching: પુલ રિક્વેસ્ટ્સ (pull requests) દ્વારા ઉપયોગમાં લેવાતા કેશને ઓફિશિયલ રિલીઝ દ્વારા ઉપયોગમાં લેવાતા કેશથી અલગ કરો.
- Hardware-Backed Commits: YubiKeys જેવી FIDO2 સિક્યુરિટી કીનો ઉપયોગ કરો. વોર્મ કમિટ સાઇન કરવા માટે ભૌતિક રીતે કીને સ્પર્શી શકતું નથી.
- Build-Time Observability: બિલ્ડ દરમિયાન વિચિત્ર પ્રક્રિયાઓ પર નજર રાખવા માટે eBPF નો ઉપયોગ કરો.
- Egress Filtering: વિશ્વસનીય સાઇટ્સ સિવાય તમારા CI/CD રનર્સમાંથી તમામ આઉટબાઉન્ડ નેટવર્ક ટ્રાફિકને બ્લોક કરો.
- Zero-Trust AI Prompts: તમારા AI કોડિંગ ટૂલ્સ શું કરી શકે છે તેના પર મર્યાદા લાદો. તમારી મંજૂરી વિના તેમને શેલ સ્ક્રિપ્ટ્સ (shell scripts) ચલાવવા ન દો.
આ કેવી રીતે અમલમાં મૂકવું:
Phase 1: પરવાનગીઓ અને કેશિંગ ઠીક કરો. OIDC એક્સેસ મર્યાદિત કરો અને તમારી કેશ કીઝને અલગ કરો.
Phase 2: પાઇપલાઇનને મજબૂત બનાવો. નેટવર્ક ફિલ્ટર્સનો ઉપયોગ કરો અને તમારા એક્શન વર્ઝનને ચોક્કસ કમિટ ID સાથે પિન કરો.
Phase 3: સંપૂર્ણ અલગતા (Total isolation). તમામ ડેવલપમેન્ટને કન્ટેનર્સમાં ખસેડો અને તમામ કમિટ્સ માટે હાર્ડવેર સિક્યુરિટી કી ફરજિયાત બનાવો.
સપ્લાય ચેઇન સુરક્ષાને માત્ર એક ચેકબોક્સ તરીકે લેવાથી નિષ્ફળતા મળશે. તમારે જે વાતાવરણમાં કોડ લખવામાં આવે છે તેને સુરક્ષિત કરવું જ પડશે.
સ્ત્રોત: https://dev.to/docker/beyond-slsa-how-to-stop-zero-click-cicd-worms-with-a-9-step-plan-1l36
વૈકલ્પિક લર્નિંગ કોમ્યુનિટી: https://t.me/GyaanSetuAi