smokedmeat — A CI/CD Red Team Framework for demonstrating Build Pipeline security risks.
Das Projekt smokedmeat ist ein CI/CD-Red-Team-Framework geschrieben in Go, das Risiken in Build-Pipelines aufzeigt. Es zielt darauf ab, Sicherheitslücken und Schwachstellen in Continuous Integration und Continuous Deployment-Prozesse zu demonstrieren. Entwickler und DevSecOps-Teams sollten das Framework nutzen, um ihre Pipeline-Sicherheit zu testen und zu verbessern.
smokedmeat ist ein in Go geschriebenes CI/CD-Red-Team-Framework zur Demonstration von Risiken in Build-Pipelines. Es soll Sicherheitslücken und Schwachstellen in Continuous-Integration- und Continuous-Deployment-Prozessen aufzeigen.
Entwickler und DevSecOps-Teams mit CI/CD- und Build-Pipelines.
Build-Pipelines sind zentrale Lieferkettenkomponenten; Schwächen dort können Software-Builds und Deployment-Prozesse beeinträchtigen.
Der Artikel bestätigt nur Risikodemonstration; realistisch könnten unsichere Pipeline-Konfigurationen zu kompromittierten Builds oder unerwünschten Änderungen führen.
CI/CD-Pipelines auf Berechtigungen, Secrets, Build-Schritte und Änderungsfreigaben prüfen.
- ▸CI/CD-Secrets und deren Zugriff durch Build-Jobs überprüfen.
- ▸Pipeline-Änderungen auf Code-Review, Branch-Schutz und Freigabeanforderungen prüfen.
- ▸Build- und Deployment-Logs auf unerwartete Schritte oder externe Abhängigkeiten prüfen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1612 Build Image on Host | Low | Der Artikel nennt Build-Pipeline-Sicherheitsrisiken, aber keine konkrete Technik. |
- Keine konkreten Pipeline-Angriffe oder Schwachstellen angegeben.
- Keine betroffenen CI/CD-Produkte genannt.
- MITRE-Zuordnung ist nur niedrig belastbar, da der Artikel keine genaue Technik beschreibt.