近年来，供应链攻击事件频繁发生。其中，CI/CD流程的安全缺陷是供应链攻击的重要渠道之一，为了有效防范这种威胁，我们需要深入了解CI/CD安全所面临的问题和挑战。攻防不仅是技术层面的对抗，更是业务层面的博弈。我们需要掌握目标系统的业务逻辑、架构、数据流向等信息，以便发现并利用其薄弱环节。

本次演讲将从以下几个方面介绍：

• 研究CI/CD安全背景：开发模式的演变、供应链安全、攻防趋势的升级。
• CI/CD攻击路径：分析CI/CD流水线中存在的攻击入口，以及攻击者利用的技术和手段。
• CI/CD流水线安全威胁：总结常用CI/CD流水线中可能遭受的安全威胁，如身份和访问管理不足、流程控制机制不足、毒化流水线、依赖链滥用、凭据使用管理不善。
• 攻击案例分享：分享实战演练中的CI/CD攻击案例。