Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per CodeBuild
Questi controlli del Security Hub valutano il AWS CodeBuild servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili
Requisiti correlati:, v3.2.1/8.2.1, v4.0.1/8.3.2 NIST.800-53.r5 SA-3 PCI DSS PCI DSS
Categoria: Protezione > Sviluppo protetto
Severità: critica
Tipo di risorsa: AWS::CodeBuild::Project
Regola AWS Config : codebuild-project-source-repo-url-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'archivio sorgente di Bitbucket di un AWS CodeBuild progetto URL contiene token di accesso personali o un nome utente e una password. Il controllo fallisce se l'archivio dei sorgenti di Bitbucket URL contiene token di accesso personali o un nome utente e una password.
Nota
Questo controllo valuta sia la fonte primaria che le fonti secondarie di un progetto di compilazione. CodeBuild Per ulteriori informazioni sulle fonti del progetto, consulta l'esempio di fonti di input e artefatti di output multipli nella Guida per l'AWS CodeBuild utente.
Le credenziali di accesso non devono essere archiviate o trasmesse in formato testo non crittografato o apparire nell'archivio di origine. URL Invece dei token di accesso personali o delle credenziali di accesso, dovresti accedere al tuo provider di origine e modificare l'archivio di origine in CodeBuild modo che contenga solo il percorso della posizione del repository URL Bitbucket. L'utilizzo di token di accesso personali o credenziali di accesso potrebbe comportare l'esposizione involontaria dei dati o l'accesso non autorizzato.
Correzione
Puoi aggiornare il tuo progetto per utilizzarlo. CodeBuild OAuth
Per rimuovere l'autenticazione di base/(GitHub) Personal Access Token dal sorgente CodeBuild del progetto
Apri la CodeBuild console all'indirizzo https://console.aws.amazon.com/codebuild/
. -
Scegliere il progetto di compilazione contenente i token di accesso personali o un nome utente e una password.
-
Da Edit (Modifica), scegliere Source (Sorgente).
-
Scegli Disconnetti da GitHub /Bitbucket.
-
Scegli Connetti tramite OAuth, quindi scegli Connetti a GitHub /Bitbucket.
-
Quando richiesto, scegliere authorize as appropriate (autorizza come appropriato).
-
Riconfigura il repository URL e le impostazioni di configurazione aggiuntive, se necessario.
-
Scegliere Update source (Aggiorna origine).
Per ulteriori informazioni, consulta gli esempi basati sui casi CodeBuild d'uso nella Guida per l'utente.AWS CodeBuild
[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato
Requisiti correlati: NIST.800-53.r5 IA-5 (7), v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2 PCI DSS
Categoria: Protezione > Sviluppo protetto
Severità: critica
Tipo di risorsa: AWS::CodeBuild::Project
Regola AWS Config : codebuild-project-envvar-awscred-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il progetto contiene le variabili di ambiente AWS_ACCESS_KEY_ID
e AWS_SECRET_ACCESS_KEY
.
Le credenziali di autenticazione AWS_ACCESS_KEY_ID
e AWS_SECRET_ACCESS_KEY
non devono mai essere memorizzate in testo non crittografato, in quanto ciò potrebbe comportare l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
Correzione
Per rimuovere le variabili di ambiente da un CodeBuild progetto, consulta Modificare le impostazioni di un progetto di build AWS CodeBuild nella Guida per l'AWS CodeBuild utente. Assicurati che non sia selezionato nulla per le variabili di ambiente.
Puoi memorizzare le variabili di ambiente con valori sensibili nel AWS Systems Manager Parameter Store o AWS Secrets Manager recuperarle dalle specifiche di build. Per istruzioni, consulta la casella denominata Importante nella sezione Ambiente della Guida per l'AWS CodeBuild utente.
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), v4.0.1/10.3.2 PCI DSS
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: bassa
Tipo di risorsa: AWS::CodeBuild::Project
Regola AWS Config : codebuild-project-s3-logs-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i log di Amazon S3 per un AWS CodeBuild progetto sono crittografati. Il controllo fallisce se la crittografia è disattivata per i log S3 di un progetto. CodeBuild
La crittografia dei dati inattivi è una best practice consigliata per aggiungere un livello di gestione degli accessi ai dati. La crittografia dei registri inattivi riduce il rischio che un utente non autenticato da acceda AWS ai dati archiviati su disco. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati.
Correzione
Per modificare le impostazioni di crittografia per i log CodeBuild del progetto S3, consulta Modificare le impostazioni di un progetto di build AWS CodeBuild nella Guida per l'AWS CodeBuild utente.
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
Requisiti correlati: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::CodeBuild::Project
Regola AWS Config : codebuild-project-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un ambiente di CodeBuild progetto ha almeno un'opzione di registro, su S3 o sui CloudWatch log abilitati. Questo controllo fallisce se un ambiente di CodeBuild progetto non ha almeno un'opzione di registro abilitata.
Dal punto di vista della sicurezza, la registrazione è una funzionalità importante per consentire future attività di analisi forense in caso di incidenti di sicurezza. La correlazione delle anomalie nei CodeBuild progetti con il rilevamento delle minacce può aumentare la fiducia nell'accuratezza di tali rilevamenti di minacce.
Correzione
Per ulteriori informazioni su come configurare le impostazioni CodeBuild del registro di progetto, consulta Creare un progetto di compilazione (console) nella Guida per l'utente. CodeBuild
[CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata
Importante
Security Hub ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta Registro delle modifiche per i controlli del Security Hub.
Requisiti correlati: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Categoria: Protezione > Gestione sicura degli accessi
Gravità: alta
Tipo di risorsa: AWS::CodeBuild::Project
Regola AWS Config : codebuild-project-environment-privileged-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'ambiente di AWS CodeBuild progetto ha la modalità privilegiata abilitata o disabilitata. Il controllo fallisce se in un ambiente di CodeBuild progetto è abilitata la modalità privilegiata.
Per impostazione predefinita, i contenitori Docker non consentono l'accesso a nessun dispositivo. La modalità privilegiata garantisce l'accesso al contenitore Docker di un progetto a tutti i dispositivi. L'impostazione privilegedMode
con valore true
consente al demone Docker di funzionare all'interno di un contenitore Docker. Il daemon Docker ascolta le API richieste Docker e gestisce oggetti Docker come immagini, contenitori, reti e volumi. Questo parametro deve essere impostato su true solo se il progetto di compilazione viene utilizzato per creare immagini Docker. Altrimenti, questa impostazione dovrebbe essere disabilitata per impedire l'accesso involontario a Docker APIs e all'hardware sottostante del contenitore. L'impostazione false
consente privilegedMode
di proteggere le risorse critiche da manomissioni ed eliminazioni.
Correzione
Per configurare le impostazioni dell'ambiente di CodeBuild progetto, consulta Creare un progetto di compilazione (console) nella Guida per l'CodeBuild utente. Nella sezione Ambiente, non selezionare l'impostazione Privileged.
[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive
Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::CodeBuild::ReportGroup
Regola AWS Config : codebuild-report-group-encrypted-at-rest
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i risultati dei test di un gruppo di AWS CodeBuild report esportati in un bucket Amazon Simple Storage Service (Amazon S3) sono crittografati quando sono inattivi. Il controllo fallisce se l'esportazione del gruppo di report non è crittografata quando è inattivo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
Correzione
Per crittografare l'esportazione del gruppo di report in S3, consulta Aggiornare un gruppo di report nella Guida per l'utente.AWS CodeBuild