Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

В сфере искусственного интеллекта произошло заметное событие. levashove 44 минуты назад Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок 21 мин 1. 5K Блог компании VK Tech Информационная безопасность * DevOps * Серверное администрирование * Kubernetes * Обзор Перевод Автор оригинала: Andre Martins, Feroz Salam (Cilium / Isovalent). Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов.

Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

Технические детали

ВступлениеПоследние двенадцать месяцев выдались тяжёлыми для цепочки поставок open source. Axios скомпрометировали в npm — внутри нормальных на вид релизов поставлялся троян удалённого доступа (RAT). PyPI-пакет LiteLLM угнали, чтобы воровать переменные окружения.

Опубликовали тайпсквоттинговые форки Trivy — расчёт на тех, кто опечатается при наборе go install. И канонический пример — взлом SolarWinds 2020 года — до сих пор остаётся поучительной историей, к которой все возвращаются: атакующие проникли в систему сборки и распространили вредоносное ПО через обычные обновления Orion примерно для 18 000 организаций, включая федеральные агентства США, NATO и Microsoft. Вредонос бездействовал месяцами.

Взлом не замечали большую часть года. Cilium работает в сетевом пути уровня ядра миллионов Kubernetes-pod'ов. Если бы нашу цепочку поставок скомпрометировали, зона поражения была бы немаленькой.

Отраслевые последствия

Усиление защиты от такого сценария — постоянная работа, и мы хотим подробно записать, что именно делаем. Большая часть описанного не привязана к Cilium: любой open source проект, запускающий CI/CD на GitHub Actions, может применить эти паттерны. Мы также отметили места, где пока не дотягиваем, — вдруг что-то послужит полезной отправной точкой для других.

Вкратце: уровни защиты пайплайнаЕсли нет времени читать целиком, вот что Cilium делает для укрепления цепочки поставок сегодня, по уровням пайплайна:УровеньКонтрольЧто делаетКто запускает сборкиКонтроль триггеров через ArianeТолько верифицированные члены организации могут запускать CI-workflow из комментариев к PR, по явному списку разрешённых workflow. Какой код выполняет CIДвухфазные чекауты для pull_request_targetДоверенный код (composite actions, скрипты, логика подписания) загружается из базовой ветки. head PR используется только как контекст сборки Docker и никогда не выполняется как скрипт.

Кто ревьюит изменения CIГейты CODEOWNERSВсё под . github/ требует ревью от CI-команды, отвечающей за безопасность, а auto-approve. yaml требует мейнтейнера.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.