ב-18 בדצמבר 2020, SolarWinds הוציאה הודעה שהזעזעה את עולם הסייבר: תוקפים חדרו למערכת ה-build שלה ועשרה חודשים לפני כן - ועד אז, 18,000 ארגונים הורידו update חתום בחתימה דיגיטלית לגיטימית של SolarWinds שהכיל backdoor. ה-NSA, ה-Treasury, ה-Commerce Department, Microsoft, FireEye. כולם. התוקפים לא ניצלו zero-day באפליקציה. הם לא פרצו לרשת של לקוח. הם פרצו לpipeline שבנה את ה-software שכולם סומכים עליו. Orion הוא כלי ניטור IT פופולרי - בדיוק הסוג של כלי שנמצא בכל מקום ורץ עם הרשאות גבוהות. ברגע שה-build process נפרץ, כל שאר ה-security controls הפכו לחסרי משמעות. הקוד שיצא היה חתום, מאומת, ומופץ דרך channels רשמיים.
זה לא attack על אפליקציה. זה attack על ה-supply chain. ו-CI/CD pipeline הוא ה-supply chain של הקוד שלך.
SolarWinds Orion customers receiving SUNBURST in a signed CI/CD update
DevSecOps Pipeline Stack
SAST
SonarQube, Semgrep, Bandit - קוד סטטי לפני שרץ
DAST
OWASP ZAP, Burp - שולח requests ל-app רץ
SCA
Dependabot, Snyk, OWASP DC - CVE על dependencies
Container Scan
Trivy, Grype - OS packages + libraries בתוך image
Secrets Scan
gitleaks, truffleHog - pre-commit + git history
IaC Scan
tfsec, Checkov, KICS - Terraform / CFN security
SAST vs DAST vs SCA
SAST
Code without running
חוסם vulnerabilities לפני merge
מצביע על שורת קוד ספציפית
False positives - דורש tuning
DAST
Live app, attacker view
תופס runtime issues - auth, session
חיוני לAPI scanning
איטי - לא רץ על כל PR
Coverage תלוי ב-crawler
SCA
Dependencies + CVEs
תופס Log4Shell, npm, pip CVEs
Dependabot opens PRs אוטומטית
Transitive deps יוצרים noise