主要观点：我们构建的数字基础设施如纸牌屋，易受攻击，如 2024 年 3 月发现的 XZ Utils 后门事件，表明供应链攻击已成为网络战的新形式，CI/CD 管道易受攻击，需加强安全措施。
关键信息：

• 数字基础设施脆弱，易因单一漏洞等因素坍塌，如 XZ Utils 后门事件。
• 供应链攻击从 brute force 进化到 surgical precision，如 SolarWinds 事件等。
• CI/CD 管道有多个攻击面，如 checkout 阶段、依赖项等。
• 需采取一系列安全措施，如 commit 签名、依赖项监控、SLSA 框架等。
  重要细节：
• 配置 Git 进行 commit 签名，启用验证。
• 部署 OWASP Dependency-Check 等工具进行依赖项扫描。
• 利用 SLSA 框架逐步提升安全等级。
• 采用 Sigstore 等工具进行加密验证。
• 加强秘密管理，如使用 HashiCorp Vault 等。
• 实行特权最小化，减少权限。
• 进行日常配置审计等高级防护措施。
• 不重视安全会导致严重后果，如 SolarWinds 的损失。
  结论：“设置后就忘记”的安全时代已结束，CI/CD 管道需成为动态安全体，持续改进，从今天开始加强安全防护，准备好应对攻击。