Vulnerabilities in Continuous Delivery Pipelines? A Case Study

Immer mehr Unternehmen sind dabei, moderne Praktiken der kontinuierlichen Softwareentwicklung und Ansätze wie Continuous Integration (CI), Continuous Delivery (CD) oder DevOps einzuführen. Diese Ansätze können Unternehmen dabei unterstützen, die Qualität zu erhöhen und die Time-to-Market zu reduzieren.

Um diese Vorteile nutzen zu können, müssen insbesondere die Werkzeuge und die Infrastruktur zuverlässig und sicher sein. Im Falle einer Beeinträchtigung oder gar Nichtverfügbarkeit von CD-Pipelines stehen alle genannten Vorteile auf dem Spiel.

Wir haben eine Fallstudie durchgeführt, um zu identifizieren, welche potenziellen Schwachstellen in CD-Pipelines existieren und wie diese erkannt werden können. Wir haben zwei CD-Pipelines aus Industrieprojekten analysiert, die in einem ausgewählten Unternehmen im praktischen Einsatz waren.

Zur Identifikation der Schwachstellen haben wir die Bedrohungsanalyse STRIDE und ausgewählte Werkzeuge eingesetzt. Dabei wurden insgesamt 22 Schwachstellen identifiziert. Die Ergebnisse der Fallstudie haben dazu geführt, dass einzelne Schwachstellen umgehend beseitigt wurden.

Vorkenntnisse

Die Grundlagen von CD-Pipelines sollten den Besuchern bekannt sein.

Lernziele

* Der Vortrag soll das Sicherheitsbewusstsein der Zuhörer in Bezug auf CD-Pipelines steigern.
* Er soll aufzeigen, welche Schwachstellen in CD-Pipelines vorhanden sein können.
* Zudem werden Methoden gezeigt, wie Schwachstellen in CD-Pipelines erkannt werden können.