Angara Security запускает пентест CI/CD для защиты пайплайнов разработки

Компания Angara Security, российский поставщик услуг в области кибербезопасности, объявляет о выводе на рынок нового решения — анализа защищенности CI/CD-процессов. Специализированный аудит инфраструктуры разработки уже прошел апробацию на реальных проектах, подтвердив способность выявлять критические риски компрометации цепочки поставки программного обеспечения.

Современные технологии развиваются быстрее, чем меры безопасности. Новая услуга решает эту проблему: вместо проверки готового кода она контролирует весь процесс его создания, тестирования и доставки.

«CI/CD — это сердце современной разработки, а его защита определяет, сможет ли компания безопасно и быстро выпускать изменения без риска компрометации, — отмечает Филипп Скоков, руководитель направления анализа защищенности веб-приложений Angara Security. — Традиционный пентест проверяет внешний периметр, но в DevOps-экосистеме атаке подвергается не только код, но и сама среда разработки. Мы хотим не просто находить уязвимости, а помогать заказчикам встраивать безопасность в процессы разработки на самых ранних этапах».

В среде непрерывной разработки ключевыми объектами атак становятся сервисные аккаунты, секреты доступа, сторонние скрипты и плагины, а также артефакты и конфигурации конвейеров. Компрометация любого из этих элементов прямо или косвенно может привести к внедрению вредоносного кода в релиз без обнаружения.

Риски в цепочке поставки ПО стремительно растут. По данным Sonatype, только в первом квартале 2025 года выявлено около 18 000 вредоносных open source-пакетов, а общий объем вредоносного кода в открытых репозиториях увеличился на 26% по сравнению с предыдущим кварталом.

Анализ защищенности CI/CD — это специализированный аудит инфраструктуры разработки, направленный на выявление возможностей несанкционированного доступа к секретам, подмены шагов сборки, изменения артефактов, повышения привилегий и внедрения вредоносного кода в пайплайн.

Решение охватывает полный цикл поставки ПО, включая:

системы управления исходным кодом (SCM);CI-серверы и runner-ноды;системы управления секретами и хранилища артефактов;интеграции с облачными и внешними сервисами.

Методология аудита сочетает практики атакующего моделирования, ручное тестирование и автоматизированный анализ конфигураций и зависимостей.

В рамках пилотных проектов команда Angara Security выявила ряд критических сценариев, характерных для многих компаний:

Утечка секретов: в одном из репозиториев обнаружены учетные данные DevOps-инженера с максимальными привилегиями, что создавало возможность полной компрометации инфраструктуры разработки.Недостатки конфигурации политик безопасности конвейеров: в Azure DevOps Server ограничения на запуск кастомных пайплайнов обошли через механизм тегирования runner-нод, что позволило атакующему получить контроль над агентами сборки.Риск подмены артефакта: отсутствие проверки подписи артефактов позволяло модифицировать сборку перед публикацией в реестр, создавая риск доставки вредоносного кода в продуктивную среду под видом легитимного релиза.

Поскольку CI/CD напрямую связан с доступом к репозиториям, облачной инфраструктуре и реальным рабочим системам, инциденты на различных этапах сборки и выпуска ПО могут иметь более серьезные последствия, чем уязвимости в конечных приложениях.