𝗕𝗲𝘆𝗼𝗻𝗱 𝗦𝗟𝗦𝗔: 𝗦𝘁𝗼𝗽 𝗖𝗜/𝗖𝗗 𝗪𝗼𝗿𝗺𝘀 𝘄𝗶𝘁𝗵 𝗮 𝟵-𝗦𝘁𝗲𝗽 𝗣𝗹𝗮𝗻
तुमची सॉफ्टवेअर सुरक्षा सीमा (security perimeter) कोलमडली आहे.
जुन्या पद्धती कंटेनर्स स्कॅन करण्यावर आणि खराब पॅकेजेस ब्लॉक करण्यावर लक्ष केंद्रित करत होत्या. आता हे पुरेसे नाही. २०२५ आणि २०२६ दरम्यान, एक नवीन धोका समोर आला आहे. हल्लेखोर आता स्वायत्त (autonomous) worms चा वापर करतात जे थेट डेव्हलपर टूल्स आणि CI/CD पाइपलाइन्सना संक्रमित करतात.
SLSA Level 3 सारखी मानक साधने या धोक्यांकडे दुर्लक्ष करतात. तुम्ही कंटेनर तयार करण्यापूर्वीच एखादा worm तुमचे क्रेडेंशियल्स (credentials) चोरू शकतो किंवा तुमच्या कॅशेला (cache) दूषित करू शकतो. तुमच्याकडे घातक कोड असला तरीही तुमचा अंतिम सुरक्षा अहवाल (security report) परिपूर्ण दिसू शकतो.
हे सुधारण्यासाठी, IX Hexbreaker Aegis फ्रेमवर्क वापरा. तुमचे स्थानिक वातावरण (local environment) आणि AI एजंट्स सुरक्षित ठेवण्यासाठी ही ९-टप्प्यांची संरक्षण प्रणाली आहे.
संरक्षणाचे ९ टप्पे:
- AI Agent Sandboxing: AI असिस्टंट्सना आयसोलेटेड (isolated) Docker कंटेनर्समध्ये चालवा. यामुळे ते तुमचे होस्ट क्रेडेंशियल्स चोरू शकणार नाहीत.
- Workspace Parsing: कॉन्फिगरेशन फाइल्स लोड करण्यापूर्वी त्यामध्ये काही घातक सूचना आहेत का, हे तपासण्यासाठी लपविलेल्या (hidden) फाइल्स स्कॅन करा.
- Ephemeral Environments: तुमचे स्थानिक मशीन आयसोलेट करण्यासाठी GitHub Codespaces सारखे रिमोट डेव्ह कंटेनर्स वापरा.
- OIDC Scope Minimization: तुमच्या पाइपलाइन टोकन्सना शक्य तितक्या कमी परवानग्या (permissions) आणि कमी कालावधी द्या.
- Immutable Caching: पुल रिक्वेस्टसाठी (pull requests) वापरले जाणारे कॅशे आणि अधिकृत रिलीजसाठी वापरले जाणारे कॅशे वेगवेगळे ठेवा.
- Hardware-Backed Commits: YubiKeys सारख्या FIDO2 सुरक्षा की (security keys) वापरा. एखादा worm कमिट (commit) साइन करण्यासाठी भौतिकरित्या कीला स्पर्श करू शकत नाही.
- Build-Time Observability: बिल्ड दरम्यान काही विचित्र प्रक्रिया सुरू आहेत का, हे पाहण्यासाठी eBPF वापरा.
- Egress Filtering: विश्वासार्ह साइट्स वगळता तुमच्या CI/CD रनर्समधून होणारा सर्व आउटबाउंड नेटवर्क ट्रॅफिक ब्लॉक करा.
- Zero-Trust AI Prompts: तुमचे AI कोडिंग टूल्स काय करू शकतात यावर मर्यादा घाला. तुमच्या परवानगीशिवाय त्यांना शेल स्क्रिप्ट्स (shell scripts) चालवू देऊ नका.
हे कसे लागू करावे:
Phase 1: परवानग्या आणि कॅशिंग सुधारा. OIDC प्रवेश मर्यादित करा आणि तुमच्या कॅशे कीज (cache keys) आयसोलेट करा.
Phase 2: पाइपलाइन अधिक मजबूत (harden) करा. नेटवर्क फिल्टर्स वापरा आणि तुमच्या ॲक्शन व्हर्जनला (action versions) विशिष्ट कमिट आयडी (commit IDs) वर पिन करा.
Phase 3: पूर्ण आयसोलेशन. सर्व डेव्हलपमेंट कंटेनर्समध्ये हलवा आणि सर्व कमिट्ससाठी हार्डवेअर सुरक्षा की अनिवार्य करा.
सप्लाय चेन सुरक्षेला (supply chain security) केवळ एक औपचारिकता (checkbox) समजल्यास अपयश येईल. कोड जिथे लिहिला जातो, त्या वातावरणाचे संरक्षण करणे तुमच्यासाठी आवश्यक आहे.
Source: https://dev.to/docker/beyond-slsa-how-to-stop-zero-click-cicd-worms-with-a-9-step-plan-1l36
Optional learning community: https://t.me/GyaanSetuAi