Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Sicherheitsrisiko CI/CD-Pipeline – Was uns die OWASP Top 10 CI/CD Security Risks lehren

Um sichere Anwendungen zu gewährleisten, reicht es nicht aus, nur den Code und die Abhängigkeiten auf Schwachstellen hin zu überprüfen. CI/CD-Umgebungen sind heutzutage das Herzstück eines jeden agilen Softwareunternehmens. Doch falsch konfiguriert, bieten diese zahlreiche Angriffsmöglichkeiten, wie das Stehlen geheimer Credentials durch das simple Erstellen eines Pull Requests.

In den letzten Jahren haben Angreifer zahlreiche Wege identifiziert, um Schwachstellen oder Fehlkonfigurationen von CI/CD-Pipelines auszunutzen.

Im Vortrag beleuchten wir die häufigsten Sicherheitsprobleme anhand von Beispielen und zeigen, welche Maßnahmen am besten geeignet sind, um diese zu vermeiden.

Vorkenntnisse

Ein grundsätzliches Verständnis von Aufbau und Funktionsweise gängiger CI/CD–Umgebungen (Jenkins, Gitlab, …) ist von Vorteil.

Lernziele

Fehler bei der Konfiguration und Nutzung von CI/CD–Umgebungen sind ein nicht zu unterschätzendes Problem für die Sicherheit moderner Softwareprodukte. Anhand von praxisnahen Beispielen sollen die Teilnehmenden befähigt werden, die häufigsten Sicherheitsprobleme von CI/CD–Umgebungen zu erkennen und mittels geeigneter Gegenmaßnahmen zu verhindern.  

Speaker

 

Robin Herrmann
Robin Herrmann ist IT-Security Consultant bei mgm security partners mit der Spezialisierung auf SSDLC und DevSecOps. Als Mitentwickler eines Frameworks zur Integration von Security-Tools in CI/CD-Pipelines berät er Unternehmen in ihren DevSecOps-Transformationsprozessen.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden