2025年,受信任的Git托管平台成为网络犯罪分子的游乐场。这是GitProtect最新“DevOps威胁未包装报告2026”的主要结论。
如果您想有效地应对针对您的代码(和业务)的攻击,您需要安全措施、良好做法和知识。
加强您组织的安全态势。从报告中了解7个硬道理,以发现最新的威胁和对抗它们的方法。
#1 人工智能助手不是同事,而是不可信的演员
人工智能(AI)的帮助可能是非常有利的,特别是当它在您团队中经验丰富的开发人员的严格控制下时。然而,根据我们的报告,整合到DevOps平台的人工智能大大扩大了攻击面。一系列紧急威胁包括恶意提示注入、远程代码执行和凭据泄露。仅在2025年,我们就在流行的DevOps平台上发现了68起与人工智能相关的事件。
为了应对与人工智能相关的威胁,您应该默认遵循对人工智能助手的零信任方法。您可以通过严格的输入数据卫生、人工验证(人为循环)和遵循最小特权访问规则来完成。
#2 公共存储库:分发恶意软件的主要渠道
供应链攻击越来越频繁,因为它们允许高度可扩展的滥用。威胁者在开源存储库中植入恶意代码。然后,在CI/CD配置错误或使用长寿命代币的推动下,它在私人公司之间传播。
不要盲目相信公共代码和工具,这是基本规则。验证依赖关系、第三方代码、PoC和工具是一回事。另一个是关于保护CI/CD管道和开发人员工作流程,例如,强制执行短命、最低特權令牌和持续监控外部存储库成分。
#3 短暂的秘密是唯一的出路
云身份是另一个流行的攻击层。秘密泄密尤其危险。秘密泄密特别危险,因为它们在变成影响数千个存储库的严重事件之前往往被人们所注意到。此外,根据我们的研究,2025年,身份盗窃案逐月稳步增长。
为了保护您的组织,严格遵守身份卫生是必要的。这尤其意味着使用具有最低权限访问的频繁轮换的凭据和短命令牌。不要忘记CI/CD工作流程、回购、依赖和云帐户监控、采用抗网络钓鱼的MFA和谨慎的秘密管理。
#4 配置和自动化错误:(云)故障的单点
配置错误和自动化缺陷是2025年DevOps云中断的最常见原因。换句话说,即使是由大型提供商运营的知名云平台也可能存在单一故障点。每一次失败都可能在全球下游扩展,给在受影响的云中保留代码的公司造成财务、法律、运营和合规相关问题。
防止中斷的關鍵是資料主權。您可以通过转向多云或混合策略来实现它。例如,GitProtect允许您轻松地交叉迁移到不同的提供商,或使用100%本地代码。
#5 高临界漏洞仍然大量发生
如今,忽略来自DevOps平台的漏洞公告不是一个选项。在2025年,超过一半的补丁漏洞是危急和高度严重的。换句话说,有很多缺陷可能会造成严重损害,包括访问敏感数据或特权升级。
您的绝对最低限度是遵循沟通并按时实施补丁。同样重要的是第三方依赖审计和异常监控。
#6 网络钓鱼攻击绕过多因素身份验证(MFA)
…不是通过密码黑客,而是通过受信任的身份流、云服务和OAuth。在网络钓鱼即服务(PhaaS)基础设施和敌对国家机构的支持下,威胁格局继续复杂化。
要抵制,您需要转向精细的有条件访问策略,并硬化OAuth流程、同意批准和授权应用程序。基于行为的检测也至关重要。
#7 使用第三方云并不消除问责制
虽然云被认为是相当安全的,但它们不是100%免疫的。您的组织在云中的数据可能包含敏感或个人信息,这些信息受到GDPR或HIPAA等法规的保护。如果您未能通过履行监管义务来保护它,您仍然承担全部责任,而不是云提供商。
作为托管基础设施的消费者,您需要与云提供商建立明确的数据处理规则。在這方面,其他重要的事情包括漏洞管理、快速事件响应和持续监控。
掌握DevSecOps前沿:您的后续步骤
这7个硬道理只是您需要掌握的亮点,以有效保护您的DevOps数据。有了复杂的风险,您需要复杂的防御来保证您的组织安全。
要更深入地了解,请免费下载GitProtect的DevOps威胁未包装报告2026,以:
- 获取有趣和最新的DevOps网络安全统计数据,
- 了解最新的威胁和防御趋势,
- 发现有价值的见解和观点,丰富您的理解,
- 从数十个真实的违规案件中吸取教训,以积累您的经验和智慧。
记住,真正的抵抗始于(网络)安全意识。
原文链接地址:https://www.helpnetsecurity.com/2026/05/20/hard-truths-from-2026-devops-threats-report/
