Компрометация конвейеров с помощью злонамеренных поставщиков Terraform

Это не те провайдеры, которых вы ищете: Компрометация конвейеров с помощью злонамеренного Terraform

🎙️ Дакота Райли, инженер по безопасности LiveRamp; младший преподаватель Института SANS
📍 Доклад на саммите SANS CloudSecNext 2025

Поскольку безопасность цепочек поставок продолжает развиваться в 2025 году, основное внимание по-прежнему уделяется вредоносным пакетам в таких экосистемах, как PyPI, NPM, и скомпрометированным рабочим процессам GitHub Actions. Но как насчёт модулей и провайдеров Terraform? В этом докладе мы рассмотрим, как инфраструктура как код может быть использована во вредоносных целях для воздействия на конвейеры непрерывной интеграции и получения более глубокого доступа к целевым средам. Мы рассмотрим реалистичные пути атак, демонстрирующие использование Terraform в сценариях угроз, с техническими примерами и прототипом «злого» провайдера Terraform. Наконец, мы обсудим практические меры по снижению рисков и средства контроля безопасности, которые вы можете реализовать для снижения рисков, как непосредственно для Terraform, так и в более широком смысле для всех ваших рабочих процессов CI/CD.

#TerraformSecurity #SupplyChainSecurity #CICDSecurity