Beim Aufbau und Betrieb von DevOps-Infrastruktur und -Prozessen finden mögliche konzeptionelle Sicherheitsprobleme der Build-Pipelines selbst oft wenig Beachtung.
Dieser Vortrag behandelt den besonderen Schutzbedarf von DevOps-Prozessen, mögliche Sicherheitsrisiken und entsprechende Gegenmaßnahmen.
Welche Optionen gibt es, um z.B. Passwörter der Build-Pipeline zur Verfügung zu stellen, ohne sie im zentralen Code-Repository zu exponieren.
Welche Strategien können das Vertrauen in Quellen (Code- und Container-Repos, …), sowie kompilierte Artefakte stärken.
Welche Defense-in-Depth-Mechanismen sind dabei verhältnismäßig.