Zaidi ya SLSA: Zuia Worm za CI/CD kwa Mpango wa Hatua 9
Mipaka yako ya usalama wa programu imeporomoka.
Mbinu za zamani zilijikita katika kuchunguza makontena na kuzuia vifurushi vibaya. Hii haitoshi tena. Kati ya mwaka 2025 na 2026, tishio jipya lilitokea. Washambuliaji sasa wanatumia worms zinazojitegemea ambazo huambukiza zana za watengenezaji na njia za CI/CD moja kwa moja.
Zana za kawaida kama SLSA Level 3 haziwezi kuona tishio hizi. Worm inaweza kuiba sifa zako za ufikiaji (credentials) au kuchafua cache yako kabla hata hujatengeneza kontena. Ripoti yako ya mwisho ya usalama inaweza kuonekana kuwa bora hata kama ina kodi hasidi.
Ili kurekebisha hili, tumia mfumo wa IX Hexbreaker Aegis. Huu ni ulinzi wa hatua 9 ili kulinda mazingira yako ya ndani na mawakala wa AI.
Hatua 9 za Ulinzi:
- AI Agent Sandboxing: Endesha wasaidizi wa AI ndani ya makontena ya Docker yaliyotengwa. Hii inazuia wasiibe sifa zako za ufikiaji za host.
- Workspace Parsing: Chunguza faili za usanidi zilizofichwa kwa maelekezo hasidi kabla ya kuzipakia.
- Ephemeral Environments: Tumia makontena ya maendeleo ya mbali (remote dev containers) kama GitHub Codespaces ili kutenga mashine yako ya ndani.
- OIDC Scope Minimization: Pa tokeni za pipeline yako ruhusa ndogo iwezekanavyo na muda mfupi wa matumizi.
- Immutable Caching: Tenga cache zinazotumiwa na pull requests kutoka kwa zile zinazotumiwa na toleo rasmi.
- Hardware-Backed Commits: Tumia funguo za usalama za FIDO2 kama YubiKeys. Worm haiwezi kugusa funguo kimwili ili kusaini commit.
- Build-Time Observability: Tumia eBPF kufuatilia michakato isiyo ya kawaida wakati wa ujenzi (build).
- Egress Filtering: Zuia trafiki yote ya mtandao inayotoka kwenye CI/CD runners zako isipokuwa kwenda kwenye tovuti zinazoaminika.
- Zero-Trust AI Prompts: Weka mipaka ya kile zana zako za AI za uandishi wa kodi zinachoweza kufanya. Usiziache ziendeshe shell scripts bila idhini yako.
Jinsi ya kutekeleza hili:
Awamu ya 1: Rekebisha ruhusa na caching. Weka mipaka ya ufikiaji wa OIDC na tenga funguo zako za cache.
Awamu ya 2: Imarisha pipeline. Tumia vichujio vya mtandao na uunganishe (pin) matoleo yako ya action kwenye ID maalum za commit.
Awamu ya 3: Utengaji kamili. Hamishia maendeleo yote kwenye makontena na lazimisha matumizi ya funguo za usalama za hardware kwa commit zote.
Kuchukulia usalama wa mnyororo wa ugavi (supply chain security) kama jambo la kukamilisha tu (checkbox) kutasababisha kufeli. Lazima ulinde mazingira ambapo kodi huandikwa.
Chanzo: https://dev.to/docker/beyond-slsa-how-to-stop-zero-click-cicd-worms-with-a-9-step-plan-1l36
Jumuiya ya kujifunza ya hiari: https://t.me/GyaanSetuAi