Beveiligingsteams hebben veel geïnvesteerd in het beveiligen van de code die ontwikkelaars schrijven. Echter, kwaadwillenden richten zich steeds vaker op de CI/CD pipelines zelf. Deze pipelines draaien met verhoogde rechten en bevatten vaak cloud-credentials, registry-tokens, SSH-sleutels en productiegeheimen. Ze voeren automatisch code uit bij elke push of pull request, inclusief code van derden. Een compromis in de pipeline betekent daardoor niet alleen toegang tot code, maar tot alle systemen en data die ermee verbonden zijn.

De industrie heeft deze dreigingen goed in kaart gebracht, bijvoorbeeld via OWASP’s Top 10 CI/CD Risks. Toch ontbraken tot nu toe eenvoudige en betrouwbare controles die beveiligingsteams daadwerkelijk kunnen toepassen. Wiz brengt hier verandering in met een nieuwe oplossing die specifiek gericht is op het beveiligen van de build-omgeving binnen CI/CD pipelines.

Supply chain-aanvallen op CI/CD infrastructuur zijn geen hypothetisch risico, maar een terugkerend patroon. In minder dan twee jaar zijn meerdere opvallende aanvallen geweest waarbij zwakheden in pipelines werden misbruikt. Deze incidenten onderstrepen het belang van gerichte beveiligingsmaatregelen binnen de gehele softwareleveringsketen.