Consideraciones de seguridad SaaS de integración continua

Navega tus respuestas
4

¿Cómo se protegen los productos CI SaaS de los malos actores? Cuando un servidor de CI crea y prueba un código arbitrario, ¿cómo podemos estar seguros de que este código no es un tipo de explotación? ¿Las empresas de CI como Travis tienen fallas inherentes? Me imagino que han resuelto este aparente exploit de ejecución de código arbitrario, pero no tengo idea de cómo harían eso. ¿Simplemente asignan una máquina virtual a cada usuario? Si es así, esto parece una mala opción debido a la sobrecarga de la VM (sin mencionar la posibilidad de escapar de la VM).

¿Cómo tratan esto los productos de CI SaaS?

    
pregunta macsj200 07.04.2016 - 09:16
fuente

1 respuesta

1

Dependerá de la SaaS, pero es posible que esté haciendo la pregunta incorrecta. ¿Son los problemas mitigados por usted auto-alojamiento? Probablemente se vuelven drásticamente peores.

El CI es inherentemente problemático solo cuando se olvida de lo que está haciendo y no se protege correctamente, independientemente de si se trata de SaaS o no. Si usted es el objetivo y tiene un código malicioso procedimientos de compilación en un SaaS, probablemente tenga suerte. En el éxito, consiguen pwned. No tú. Si tiene un código malicioso que se confirmó en sus repositorios de origen sin ser detectado y lo implementa, es probable que se encuentre en peligro. Los servicios no van a detectar eso.

¿Qué estás protegiendo? ¿Tu código fuente o tus servidores? Defina el riesgo y determine los procedimientos de watchguard para el código fuente para evitar la introducción de código malicioso.

    
respondido por el Michael 30.08.2016 - 23:43
fuente

Lea otras preguntas en las etiquetas

Reflexiones sobre mi implementación JWT ¿Qué vulnerabilidades clasifican las distribuciones como causantes de que un programa se bloquee, lo que da como resultado una denegación de servicio, o posiblemente ejecute un código arbitrario?