Le blianta anuas, chuaigh ionsaitheoirí i ndiaidh feidhmchlár amháin ag an am. D'athraigh siad a dtaicticí: cén fáth a gcuirfí aip amháin i mbaol nuair is féidir leat an ceann eile a chur i mbaol. pipeline a thógann go leor? Xygeni's Rabhadh Luath um Bhogearraí Mailíseacha (MEW) braitheadh 4,452 pacáiste mailíseach in 2025 agus 1,281 eile in 2026 go dtí seoTá gach eachtra ardphróifíle le blianta beaga anuas tar éis nasc difriúil sa slabhra seachadta bogearraí a bhualadh:
- SolarWinds (2020): comhréiteach ar an timpeallacht thógála; nuashonruithe cúltaca seolta chuig 18,000 custaiméir.
- CódCov (2021)Lig íomhá Docker míchumraithe d’ionsaitheoirí script uaslódála bash a mhodhnú, rud a chuir rúin CI ó níos mó ná 23,000 custaiméir.
- CiorcalCI (2023)Goid fianán seisiúin ar ríomhaire glúine innealtóra a tiontaíodh ina chomharthaí rochtana táirgeachta; dúradh le gach custaiméir gach rún a rothlú.
- Úsáideann XZ doras cúil (2024) :feachtas innealtóireachta sóisialta ilbhliantúil a shroich beagnach gach dáileadh Linux.
- gníomhartha tj (2025) — easghluaiseacht slabhra soláthair GitHub Actions a nimhigh comhpháirt a bhí in úsáid ag breis is 23,000 stór.
- Ionsaithe ar Aqua Trivy agus seicmharc (2026) — rinne feachtas TeamPCP dhá scanóir slándála a úsáidtear go forleathan a iompú ina veicteoirí ionsaithe, agus ansin úsáideadh an scanóir goidte CI/CD dintiúir le scaipeadh síos an abhainn isteach i npm, OpenVSX, agus PyPI.
Bhain gach ionsaí leas as cuid dhifriúil den pipelinetimpeallacht tógála, uirlisí CI, spleáchais, dintiúir forbróra, muinín chothóra, tagairtí inathraithe do dhéantáin. Freagraíonn formhór na n-eagraíochtaí le rialú pointe, scanóir i CI, 2FA ar an IdP, cosaint brainse ar mainIs gnách go mbíonn bealach in easnamh chun ceist a chur. an bhfuilimid clúdaithe go córasach? seachas An ndearnamar cuimhneamh X a chumasú i ndiaidh na heachtra deireanaí?
Seasann díoltóirí slándála feidhmchlár go díreach sa chrosbhóthar, rud a chuireann i mbaol go sroicheann ceann amháin gach custaiméir a bhfuil muinín aige as a chuid artifacht. Ní teoiriciúil an brú chun bogadh ó rialuithe imoibríocha go staidiúir chórasach. Tá sin réamh-ciscad a spreag glacadh le SPVS OWASP standard mar thionscadal ardtosaíochta.
Cad is SPVS ann, agus cén fáth go bhfuil an struchtúr tábhachtach
Tá an scéal tionscnaimh simplí. Ag LASCON 2023, bhí Farshad Abasi agus Cameron Walters ag cur na ceiste céanna ar a chéile i gcónaí: cá bhfuil an ASVS? pipelineThug OWASP ASVS slándáil chuimsitheach, infhíoraithe do shlándáil feidhmchlár standardNí raibh aon rud coibhéiseach ann do. CI/CD.
Bhí Barr 10 OWASP ann CI/CD Rioscaí, a bhí dírithe ar fheasacht, nach raibh intástála; SLSA, a dhírigh ar bhunús tógála amháin; S2C2F, a dhírigh ar thomhaltas spleáchais amháin; agus OpenSSF Scórchárta, a chlúdaigh seiceálacha sonracha ar stórais. Chlúdaigh gach ceann acu píosa. Níor chlúdaigh aon cheann an t-iomlán.
| Creat nó Tionscadal | Scóip Bunscoile |
|---|---|
| 10 barr OWASP CI/CD Rioscaí | Dírithe ar fheasacht CI/CD treoir riosca, ní fíorú intástála standard. |
| SLSA | Tóg sláine bunús agus déantán. |
| S2C2F | Tomhaltas spleáchais slán. |
| OpenSSF Cárta Scór | Seiceálacha slándála sonracha ar leibhéal an stórais. |
An bhearna: chlúdaigh gach creat píosa tábhachtach de software supply chain security, ach níor sholáthair aon cheann acu infhíoraithe ó cheann ceann standard don iomlán CI/CD pipeline.
Ba dhá bhliain oibre an comhrá sin, agus i mí Dheireadh Fómhair 2025, d’eisigh grúpa oibre SPVS leagan 1.0: 127 riachtanas ar fud an timthrialla saoil, Pleanáil, Forbairt, Comhtháthú, Scaoileadh, Oibriú, roinnte ina dtrí leibhéal aibíochta: L1 Bunúsach, L2 Standard, agus L3 Ardleibhéil. Tá gach riachtanas mapáilte chuig NIST SP 800-53, OWASP CI/CD Barr 10, agus CWE.

Is é an struchtúr an pointe. I bhfocail údair SPVS féin:
"Fíoraigh do chuid iomlán pipeline, ní píosa amháin. Seo an áit a mbíonn an chuid is mó d'eagraíochtaí ag streachailt. Déanann siad scanadh ar spleáchais ach déanann siad neamhaird ar rialachas scaoilte. Síníonn siad déantáin ach ní dhéanann siad samhaltú bagartha ar a gcuid pipeline ailtireacht. Déanann siad monatóireacht ar tháirgeadh ach ní ar a dtimpeallachtaí tógála.”
Seo an áit a mbíonn an chuid is mó d'eagraíochtaí ag streachailt. Déanann siad scanadh ar spleáchais ach déanann siad neamhaird ar rialachas scaoilte. Síníonn siad déantáin ach ní dhéanann siad samhaltú bagartha ar a gcuid oibre. pipeline ailtireacht. Déanann siad monatóireacht ar tháirgeadh ach ní ar a dtimpeallachtaí tógála.
Seo an tráchtas a thugann údar leis an iarracht. Ní chúiteamh láidreachtaí i gcéim amháin as laigí i gcéim eile. Ní theastaíonn ach nasc amháin ó ionsaitheoirí le briseadh. Timthriall saoil standard Cuireann sé iallach ort iad uile a sheiceáil, agus ligeann an dul chun cinn ó L1 go L2 go L3 duit é sin a dhéanamh gan an fharraige a fhiuchadh. Ní chuireann SPVS ionad SLSA, S2C2F, Scorecard, ná Sigstore; tugann sé an scafall duit a insíonn duit cá n-oireann gach ceann acu.
Oiriúnú an Standard chuig d'Eagraíocht
Is é an chéad chéim nádúrtha ná iniúchadh díreach a dhéanamh ar bhonneagar d'eagraíochta agus do bhogearraí i gcoinne gach ceanglais. Bileog Google arna síolrú ón suíomh oifigiúil Ceanglais SPVS CSV oibríonn sé go maith mar phointe tosaigh. Tá trí radharc úsáideach: maitrís riachtanas le stádas agus úinéir in aghaidh an rialaithe, léarscáil teasa in aghaidh an stórais, agus dashboard dul chun cinn de réir céime agus leibhéil. Cuireann an t-aschur go nádúrtha le treochlár teicniúil, doiciméad beo a chlúdaíonn gach céim ón bplean go dtí an oibríocht.
Beidh formhór na n-eagraíochtaí innealtóireachta aibí timpeall ar Leibhéal 2 cheana féin nuair a dhéanfaidh siad an mapáil tosaigh seo. Is seasamh maith é sin i ndáiríre: ciallaíonn sé gur féidir leis an gcéad chéim díriú ar bhearnaí sonracha a dhúnadh seachas bunchlocha a thógáil ón tús.
Is pictiúr den scarbhileog, áfach, agus iarrann SPVS níos mó. Éilíonn V1.1.7 iniúchadh ráithiúil ar riarthóirí VCS; cuireann V5.1.1 go V5.1.3 iniúchtaí rialta úsáideoirí, athbhreithniú ar logaí rochtana, agus monatóireacht ar rochtain phribhléideach leis; éilíonn roinnt rialuithe V2.1.x, V3.3.x, agus V4.2.x sláinteachas leanúnach sreabha oibre-YAML. Rithtear de láimh ar fud na heagraíochta é sin, leathlá de rianú cliceáil gach ráithe le riosca fíor easnaimh chiúine. Is é an cineál poist é a uathoibrithear nó nach ndéantar athbhreithniú air ach amháin tar éis rud éigin dona a tharlú.
Ní míreanna seicliosta aonuaire iad roinnt rialuithe SPVS. Éilíonn siad athbhreithniú athfhillteach, fianaise iniúchta, agus braiteadh drifte trasna stórtha, úsáideoirí, sreafaí oibre, agus rochtain phribhléideach.
| Limistéar SPVS | Cineál Riachtanas |
|---|---|
V1.1.7 | Iniúchadh ráithiúil ar riarthóirí VCS. |
V5.1.1–V5.1.3 | Iniúchtaí rialta úsáideoirí, athbhreithniú ar logaí rochtana, agus monatóireacht ar rochtain phribhléideach. |
V2.1.x, V3.3.x, V4.2.x | Sláinteachas YAML sreabha oibre leanúnach. |
Is é an freagra uirlisí a thógáil nó a ghlacadh a ritheann faoi chéannacht úinéir na heagraíochta agus a tháirgeann pacáiste ráithiúil struchtúrtha: clár riarthóra, cosaint brainse, clúdach CÓDÚINÉIRÍ, sláinteachas YAML sreabhadh oibre le gníomhartha bioráilte, ceadanna sainráite, pull_request_target geataíocht, ball 2FA, aipeanna GitHub suiteáilte, agus eochracha imscaradh. An rud a bhíodh ina leathlae de sheandálaíocht scarbhileog, is ordú aonair é a astaíonn JSON agus Markdown. An t-athbhreithniú ráithiúil idir an CISÉiríonn riarthóirí O agus eagraíochta ina decisCruinniú ianach, ní ceann bailithe sonraí, agus bíonn torthaí inghníomhaithe ina saincheisteanna riaráiste le SLAanna bunaithe ar dhéine.
Ba cheart go mbeadh polasaí liosta ceadanna, lena n-áirítear riarthóirí ceadaithe, aipeanna ceadaithe, agus ceadanna de réir feidhme do stórtha agus sreafaí oibre, beo mar YAML i stór rialaithe leaganacha, faoi réir athbhreithnithe caidreamh poiblí ón bhfoireann slándála. Fágann aon athrú ar an liosta ceadanna rian athbhreithnithe, mar sin gintear fianaise iniúchóireachta í féin. Is é an éifeacht atá leis ná rialuithe a bhí uaillmhianach, amhail “ba cheart dúinn iniúchadh ráithiúil a dhéanamh,” a thiontú ina rialuithe atá gnáthamh, amhail “tháinig iniúchadh na ráithe seo i dtír Dé Luain,” agus meicníocht in-athdhéanta a thabhairt don eagraíocht chun an braiteadh drifte a éilíonn an prionsabal ó cheann ceann go ceann.
Na Frithchuimiltí ar Cheart Duit Pleanáil a Dhéanamh Dóibh
Is iad na rialuithe teicniúla an chuid is fusa. Is deacra daoine a úsáid.
Is beagnach i gcónaí gurb iad ÚINÉIRÍ CÓD an sampla is suntasaí. .github/workflows/ @your-org/security ar gach stór beagáinín. Comhad amháin, líne amháin. Ach ciallaíonn sé sin go gcaithfidh athbhreithniú slándála a dhéanamh anois ar innealtóirí atá ag féinchumasc athruithe ar shreabhadh oibre le blianta. Cuireann fiú daoine atá feasach ar shlándáil ina choinne: Scríobh mé an sreabhadh oibre seo, tuigim é, cén fáth a bhfuilim ag fanacht?
Éilíonn sé fíor-chomhrá chun an fáth a fháil amach. Is féidir le sreafaí oibre dintiúir a ghoid, déantáin a atreorú, agus tomhaltóirí iartheachtacha a nimhiú. Ní hamhras é an dara péire súl; is ionann é agus ceithre shúil ar athruithe ar bhunachar sonraí táirgeachta. Cuidíonn sé go mór le teagmhas coincréiteach, le déanaí sa slabhra soláthair a bheith agat le tagairt dó, bíodh sé ón tionscal nó ó do thimpeallacht féin. Níl aon rud a chriostalaíonn rialú chomh maith le fíorshampla dá easpa.
Leanann frithchuimilte eile an cruth céanna:
- Ceadanna follasacha: Is cúis le teipeanna CI iad bloic i sreafaí oibre go dtí go dtuigeann rannpháirtithe ceadanna raonta. Ní fadhb ceadanna í seo, ach fadhb samhail mheabhrach.
- Neamhathraitheacht an chlib: Briseann sé uirlisí scaoilte atá á n-athchlibeáil go ciúin le blianta.
- Sínithe commits: Cruthaigh frithchuimilt ionduchtaithe go dtí go mbeidh eochracha GPG nó SSH socraithe i gceart ar fud stáisiúin oibre. Déanann SPVS é seo éigeantach ar fud gach stórtha agus rannpháirtí, ní hamháin na cinn is mó.
- Ag cur comharthaí rochtana pearsanta clasaiceacha in ionad: trasna go leor stórtha agus comhaid sreabha oibre a bhaineann le beagnach gach foireann.
An patrún a oibríonn: gach rialú a thabhairt isteach le bagairt shonrach a chuireann sé bac air, píolótach a dhéanamh ar stór amháin nó dhó, eisceachtaí atá ar an liosta ceadaithe a rolladh amach, agus na heisceachtaí a scor ar amlíne sainithe. Is minic a bhíonn na hinnealtóirí a chuireann an bhrú is láidre ar ais ar na bacáin is láidre a luaithe a fheiceann siad an réasúnaíocht.
Pointe amháin níos doimhne: tá an prionsabal ó thús go deireadh tábhachtach anseo. Ní féidir leat rogha a dhéanamh agus a roghnú. Tugann cruasú céime na tógála agus rialachas scaoilte scaoilte muinín bhréagach, agus is é sin go díreach an modh teipe a luann údair SPVS. Caithfidh gach céim dul chun cinn le chéile, fiú nuair a bhraitheann rialú ar leithligh díréireach ina aonar.
Costas: thart ar mhí d’am innealtóireachta a caitheadh do Chéim 1, dírithe ar chomhlíonadh L2 d’eagraíocht bheag, scaipthe ar fud athbhreithneoirí DevOps, Slándála agus innealtóireachta. Íoctar an infheistíocht ar ais go héasca. Clúdaíonn teagmhas slabhra soláthair amháin a cuireadh cosc air an méid sin go mór. Ba cheart d’eagraíochtaí níos mó buiséad níos mó a dhéanamh go comhréireach, ach ciallaíonn an struchtúr céimnithe L1 go L2 go L3 go seachadtar luach sula mbíonn an clár críochnaithe.
Cad atá i ndán duit ina dhiaidh seo
Tá SPVS v1.5 ar na bacáin le rialuithe a bhaineann le hintleacht shaorga: bunús cód le cúnamh hintleachta saorga, guardrails i gcás sreafaí oibre CI a ghlaonn ar LLManna, déan athbhreithniú ar rianta le haghaidh AI a ghintear pull requests, agus cosaintí i gcoinne bagairtí atá ag teacht chun cinn amhail slopsquatting, áit a gcláraíonn ionsaitheoirí ainmneacha pacáistí a shamhlaíonn cúntóirí códaithe AI, agus an malware oibríochtúil a ghintear ag AI a thuairiscíonn CrowdStrike sa fiáin. Eagraíochtaí a chlibeálann cheana féin le cúnamh AI commitMeasfaidh s agus rannpháirtithe gaolmhara ina dtreoirlínte forbartha inmheánacha gur oiriúnú de réir a chéile seachas clár oibre nua é seo.
Táthar ag súil go ndéanfaidh leagan 2.0 monatóireacht ar am rith agus ar riachtanais shaolré dintiúir a dhoimhniú. Treochlár eagraíochtúil réasúnta: na bearnaí L3 atá fágtha a dhúnadh faoi dheireadh R2 2026, lena n-áirítear SLSA provenance lánpháirtiú i standard CI/CD, geataí láimhe le haghaidh imscaradh táirgeachta, agus soláthraí aitheantais láraithe, ansin aistrigh go mód cothabhála. Tosaíonn gach stór nua ag comhlíonadh, agus gabhann gach iniúchadh ráithiúil claonadh i leith athruithe go luath.
Buíochas ó chroí le Farshad Abasi, Cameron Walters, agus grúpa oibre OWASP SPVS. Laghdaíonn tionscadail mar seo an caighdeán do gach eagraíocht ar mian léi slándáil slabhra soláthair a dhéanamh go córasach seachas go frithghníomhach.
Príomh-Bháicíní Beo

Cúpla rud a aistríonn lasmuigh dár gcomhthéacs sonrach:
- Chun triail a bhaint as: Íoslódáil an CSV de na ceanglais SPVS agus mapáil do rialuithe reatha i scarbhileog. Beidh a fhios agat laistigh de lá an bhfuil sé oiriúnach.
- Roghnaigh leibhéal sprice amháin agus seol é sula sroicheann tú an chéad cheann eile. Is gné í L1 go L2 go L3, ní teorannú.
- An pipeline is é an sprioc. Tá rialuithe atá dírithe ar fheidhmchláir riachtanach ach ní leor iad; déan iarracht déileáil leis an pipeline mar dhromchla ionsaithe den chéad scoth.
- Fíoraigh an t-iomlán pipeline, ní píosa amháin. Ní dhéanann neart i scanadh spleáchais cúiteamh as rialachas lag scaoilte nó timpeallachtaí tógála neamhmhonatóireachta.
- Is pictiúir iad scarbhileoga; bíonn an ghluaiseacht leanúnach. Uathoibriú a thógáil, fiú uirlis bheag inmheánach, chun drift idir iniúchtaí a bhrath.
- Tá an obair eagrúcháin níos deacra ná an obair theicniúil. Cuir am ar fáil don chomhrá agus don tionscadal píolótach roimh an seoladh, agus mínigh an bhagairt shonrach a chuireann gach rialú bac uirthi.
Chun Tuilleadh a Léamh
- OWASP: Secure Pipeline Fíorú Standard (SPVS) leagan 1.0Leathanach Tionscadail OWASP.
- Farshad Abasi: Cén Fáth ar Chruthaíomar OWASP SPVSAirteagail OWASP SPVS.
- Farshad Abasi: Pipeline Tá na hionsaithe ag dul in olcas. Seo an chaoi le hullmhú.Airteagail OWASP SPVS.
- Farshad Abasi: SPVS OWASP i gcomparáid le Creatlacha Slabhra Soláthair EileAirteagail OWASP SPVS.
- OWASP: Barr 10 CI/CD Rioscaí SlándálaLeathanach Tionscadail OWASP.
- SLSA: Leibhéil Slabhra Soláthair do Shainearraí Bogearraíslsa.dev.
- OpenSSF: Cárta Scór. scórchártaí slándála.dev.
Written by:
Comhbhunaitheoir & CSRO
Luis Rodriguez Is Comhbhunaitheoir agus Príomhoifigeach Taighde Slándála é ag Xygeni Security. Le breis is 20 bliain de thaithí i slándáil feidhmchlár, díríonn sé ar chosaint AppSec agus ar chumais ard-anailíse cóid a chabhraíonn le foirne riosca seachadta fíor a laghdú.




