學習重點

• common approach to vulnerability management: the defense and depth model.
• how vulnerabilities are documented in online libraries like the CVE list.
• attack surfaces security teams protect. And lastly, you'll expand your
• common attack vectors cybercriminals try to exploit.

Vulnerability 脆弱性

Vulnerability is a weakness that can be exploited by a threat.

• exploit被利用:In security, an exploit is a way of taking advantage of a vulnerability.
• 重要性：有助於在威脅發生前防止問題。

Vulnerability Management（脆弱性管理）

Vulnerability management is the process of finding and patching vulnerabilities.

• 定義：發現並修補脆弱性的過程。

• 重要性：幫助保持資產安全，防止威脅成為問題。

• 四個步驟 + 1：

  1. 識別脆弱性 (Identify Vulnerabilities)
  2. 考慮潛在利用 (Consider Potential Exploits)
  3. 準備防禦措施 (Prepare Defenses)
  4. 評估防禦措施 (Evaluate Defenses)
  5. When the last step ends, the process starts again.

• 持續性循環 (Cycle):

• 當步驟結束後，過程重新開始。Vulnerability management happens in a cycle.

• 零日漏洞 (Zero-Day Exploits):

  • 定義：為之前未知的利用，立即發生，沒有修補時間。當一個漏洞被某人利用時，開發者沒有時間來修正，時間為零，因而稱之為「零日」。the exploit is happening in real time with zero days to fix it
  • 危險性：代表尚未規劃的威脅。

• 多樣化的團隊 (Diverse Teams):

  • 有助於找到利用方式，但仍無法掌控所有情況。
• • 安全規劃 (Security Planning):
  • 依據容易被利用的脆弱性來保護資產。
  • 需要考慮潛在的利用方式 (Exploits)。
  • Besides finding vulnerabilities, security planning relies a lot on thinking of exploits.

CI/CD pipelines 的安全性

CI/CD概述

• Continuous Integration (CI): 定期將代碼變更合併到中央代碼庫，觸發自動化建構和測試。
• Continuous Delivery (CD): 確保代碼隨時準備好部署，經過自動測試和人工批准後自動部署到Testing/ staging臨時環境。
• Continuous Deployment (CD): 自動將通過所有檢查的變更部署到production生產環境。

Why a secure CI/CD Pipelines is Non-Negotiable

• Secure Automation: CI/CD 的安全自動化能減少人工錯誤、加速流程並確保安全，但若實施不當，可能大規模自動化引入漏洞。
• Improved Code Quality Via Security Checks:通過在 CI/CD 中進行自動化安全測試，可提高代碼質量，減少最終軟件中的漏洞和安全問題，但前提是安全測試能有效整合進管道中。
• Faster Time to Market for Security Updates:CI/CD加速釋出，縮短發布安全更新的時間，有助於快速滿足用戶需求及應對安全威脅，是完善的CI/CD管線的一項重要安全優勢。
• Enhanced Collaboration and Feedback with Safety Focus:CI/CD 通過促進開發、安全、測試及運維團隊的協作，快速反饋幫助早期發現和解決漏洞，並在管道中主動構建安全性。
• Reduced Risk: 持續整合/持續交付的頻繁小型發布比大規模罕見的發布風險更小。如果出現問題，包括安全問題，找出和解決問題將更容易。同樣的道理適用於安全漏洞；較小和頻繁的發布可限制單次發布中引入的安全漏洞的潛在影響，前提是安全監控和測試是持續的。

常見漏洞

Building a Secure CI/CD Pipeline: Defense in Depth