𝗕𝗲𝘆𝗼𝗻𝗱 𝗦𝗟𝗦𝗔: 𝗦𝘁𝗼𝗽 𝗖𝗜/𝗖𝗗 𝗪𝗼𝗿𝗺𝘀 𝘄𝗶𝘁𝗵 𝗮 𝟵-𝗦𝘁𝗲𝗽 𝗣𝗹𝗮𝗻

మీ సాఫ్ట్‌వేర్ సెక్యూరిటీ పెరిమీటర్ కుప్పకూలిపోయింది.

పాత పద్ధతులు కంటైనర్లను స్కాన్ చేయడం మరియు చెడు ప్యాకేజీలను బ్లాక్ చేయడంపై దృష్టి సారించేవి. ఇది ఇప్పుడు సరిపోదు. 2025 మరియు 2026 మధ్య, ఒక కొత్త ముప్పు ఉద్భవించింది. దాడి చేసేవారు (Attackers) ఇప్పుడు డెవలపర్ టూల్స్ మరియు CI/CD పైప్‌లైన్‌లను నేరుగా ఇన్ఫెక్ట్ చేసే స్వయంప్రతిపత్తి కలిగిన వార్మ్స్‌ను (autonomous worms) ఉపయోగిస్తున్నారు.

SLSA Level 3 వంటి ప్రామాణిక సాధనాలు ఈ ముప్పులను గుర్తించలేవు. మీరు కంటైనర్‌ను నిర్మించకముందే ఒక వార్మ్ మీ క్రెడెన్షియల్స్‌ను దొంగిలించవచ్చు లేదా మీ క్యాచీని (cache) విషపూరితం చేయవచ్చు. మీ ఫైనల్ సెక్యూరిటీ రిపోర్ట్ చూడటానికి పర్ఫెక్ట్‌గా ఉన్నప్పటికీ, అందులో మాలీషియస్ కోడ్ ఉండే అవకాశం ఉంది.

దీనిని పరిష్కరించడానికి, IX Hexbreaker Aegis ఫ్రేమ్‌వర్క్‌ను ఉపయోగించండి. ఇది మీ లోకల్ ఎన్విరాన్మెంట్ మరియు AI ఏజెంట్లను రక్షించడానికి రూపొందించిన 9-అంచెల రక్షణ వ్యవస్థ.

రక్షణ యొక్క 9 అంచెలు:

  • AI Agent Sandboxing: AI అసిస్టెంట్‌లను ఐసోలేటెడ్ Docker కంటైనర్‌లలో రన్ చేయండి. ఇది అవి మీ హోస్ట్ క్రెడెన్షియల్స్‌ను దొంగిలించకుండా నిరోధిస్తుంది.
  • Workspace Parsing: కాన్ఫిగరేషన్ ఫైల్‌లను లోడ్ చేసే ముందు, వాటిలో మాలీషియస్ ఇన్‌స్ట్రక్షన్స్ ఉన్నాయేమో స్కాన్ చేయండి.
  • Ephemeral Environments: మీ లోకల్ మెషీన్‌ను ఐసోలేట్ చేయడానికి GitHub Codespaces వంటి రిమోట్ డెవ్ కంటైనర్‌లను ఉపయోగించండి.
  • OIDC Scope Minimization: మీ పైప్‌లైన్ టోకెన్‌లకు వీలైనంత తక్కువ పర్మిషన్లు మరియు తక్కువ కాలపరిమితిని మాత్రమే ఇవ్వండి.
  • Immutable Caching: పుల్ రిక్వెస్ట్‌ల కోసం ఉపయోగించే క్యాచీలను, అధికారిక రిలీజ్‌ల కోసం ఉపయోగించే వాటి నుండి వేరు చేయండి.
  • Hardware-Backed Commits: YubiKeys వంటి FIDO2 సెక్యూరిటీ కీలను ఉపయోగించండి. ఒక వార్మ్ కమిట్‌ను సైన్ చేయడానికి కీని భౌతికంగా తాకలేదు.
  • Build-Time Observability: బిల్డ్ సమయంలో వింతైన ప్రాసెస్‌లను గమనించడానికి eBPFని ఉపయోగించండి.
  • Egress Filtering: నమ్మకమైన సైట్‌లు తప్ప, మీ CI/CD రన్నర్‌ల నుండి వెళ్లే అన్ని అవుట్‌బౌండ్ నెట్‌వర్క్ ట్రాఫిక్‌ను బ్లాక్ చేయండి.
  • Zero-Trust AI Prompts: మీ AI కోడింగ్ టూల్స్ ఏమి చేయగలవో పరిమితం చేయండి. మీ అనుమతి లేకుండా అవి షెల్ స్క్రిప్ట్‌లను రన్ చేయనివ్వకండి.

దీనిని ఎలా అమలు చేయాలి:

Phase 1: పర్మిషన్లు మరియు క్యాషింగ్‌ను సరిచేయండి. OIDC యాక్సెస్‌ను పరిమితం చేయండి మరియు మీ క్యాచీ కీలను ఐసోలేట్ చేయండి.

Phase 2: పైప్‌లైన్‌ను దృఢపరచండి (Harden). నెట్‌వర్క్ ఫిల్టర్లను ఉపయోగించండి మరియు మీ యాక్షన్ వెర్షన్‌లను నిర్దిష్ట కమిట్ IDలకు పిన్ చేయండి.

Phase 3: సంపూర్ణ ఐసోలేషన్. మొత్తం డెవలప్‌మెంట్‌ను కంటైనర్‌లకు మార్చండి మరియు అన్ని కమిట్‌లకు హార్డ్‌వేర్ సెక్యూరిటీ కీలను తప్పనిసరి చేయండి.

సప్లై చైన్ సెక్యూరిటీని కేవలం ఒక చెక్‌బాక్స్‌లా పరిగణించడం వైఫల్యానికి దారితీస్తుంది. కోడ్ వ్రాయబడే వాతావరణాన్ని మీరు తప్పనిసరిగా రక్షించాలి.

Source: https://dev.to/docker/beyond-slsa-how-to-stop-zero-click-cicd-worms-with-a-9-step-plan-1l36

Optional learning community: https://t.me/GyaanSetuAi