Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per CodeBuild
Questi controlli CSPM di Security Hub valutano il AWS CodeBuild servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili
**Requisiti correlati: PCI DSS v3.2.1/8.2.1** NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Categoria:** Protezione > Sviluppo protetto
**Severità:** critica
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'URL del repository di origine Bitbucket di un AWS CodeBuild progetto contiene token di accesso personali o un nome utente e una password. Il controllo fallisce se l'URL del repository di origine Bitbucket contiene token di accesso personali o un nome utente e una password.
**Nota**
Questo controllo valuta sia la fonte primaria che le fonti secondarie di un progetto di compilazione. CodeBuild *Per ulteriori informazioni sulle fonti del progetto, consulta l'[esempio di fonti di input e artefatti di output multipli](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) nella Guida per l'AWS CodeBuild utente.*
Le credenziali di accesso non devono essere archiviate o trasmesse in testo non crittografato o apparire nell'URL del repository di origine. Invece dei token di accesso personali o delle credenziali di accesso, dovresti accedere al tuo provider di origine e modificare l'URL del repository di origine in CodeBuild modo che contenga solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personali o credenziali di accesso potrebbe comportare l'esposizione involontaria dei dati o l'accesso non autorizzato.
### Correzione
Puoi aggiornare il tuo progetto per utilizzarlo. CodeBuild OAuth
**Per rimuovere l'autenticazione di base/(GitHub) Personal Access Token dal sorgente CodeBuild del progetto**
1. Apri la CodeBuild console all'indirizzo [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).
1. Scegliere il progetto di compilazione contenente i token di accesso personali o un nome utente e una password.
1. Da **Edit (Modifica)**, scegliere **Source (Sorgente)**.
1. Scegli **Disconnetti da GitHub /Bitbucket**.
1. Scegli **Connetti tramite OAuth**, quindi scegli **Connetti a GitHub /Bitbucket**.
1. Quando richiesto, scegliere **authorize as appropriate (autorizza come appropriato)**.
1. Riconfigurare l'URL repository) e le impostazioni di configurazione aggiuntive, se necessario.
1. Scegliere **Update source (Aggiorna origine)**.
*Per ulteriori informazioni, consulta gli [esempi basati su casi CodeBuild d'uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) nella Guida per l'utente.AWS CodeBuild *
## [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato
**Requisiti correlati:** NIST.800-53.r5 IA-5 (7), PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2
**Categoria:** Protezione > Sviluppo protetto
**Severità:** critica
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il progetto contiene le variabili di ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`.
Le credenziali di autenticazione `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` non devono mai essere memorizzate in testo non crittografato, in quanto ciò potrebbe comportare l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
### Correzione
Per rimuovere le variabili di ambiente da un CodeBuild progetto, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guida per l'AWS CodeBuild utente*. Assicurati che non sia selezionato nulla per **le variabili di ambiente**.
Puoi memorizzare le variabili di ambiente con valori sensibili nel AWS Systems Manager Parameter Store o Gestione dei segreti AWS recuperarle dalle specifiche di build. *Per istruzioni, consulta la casella denominata **Importante** nella [sezione Ambiente della Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) per l'AWS CodeBuild utente.*
## [CodeBuild.3] I log CodeBuild S3 devono essere crittografati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), PCI DSS v4.0.1/10.3.2
**Categoria**: Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i log di Amazon S3 per un AWS CodeBuild progetto sono crittografati. Il controllo fallisce se la crittografia è disattivata per i log S3 di un progetto. CodeBuild
La crittografia dei dati inattivi è una best practice consigliata per aggiungere un livello di gestione degli accessi ai dati. La crittografia dei registri inattivi riduce il rischio che un utente non autenticato da acceda AWS ai dati archiviati su disco. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati.
### Correzione
*Per modificare le impostazioni di crittografia per i log CodeBuild del progetto S3, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) per l'AWS CodeBuild utente.*
## [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ambiente di CodeBuild progetto ha almeno un'opzione di registro, su S3 o sui CloudWatch log abilitati. Questo controllo fallisce se un ambiente di CodeBuild progetto non ha almeno un'opzione di registro abilitata.
Dal punto di vista della sicurezza, la registrazione è una funzionalità importante per consentire future attività di analisi forense in caso di incidenti di sicurezza. La correlazione delle anomalie nei CodeBuild progetti con il rilevamento delle minacce può aumentare la fiducia nell'accuratezza di tali rilevamenti di minacce.
### Correzione
Per ulteriori informazioni su come configurare le impostazioni CodeBuild del registro di progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) per l'utente. CodeBuild
## [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, (10) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2) NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi
**Gravità:** alta
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ambiente di AWS CodeBuild progetto ha la modalità privilegiata abilitata o disabilitata. Il controllo fallisce se in un ambiente di CodeBuild progetto è abilitata la modalità privilegiata.
Per impostazione predefinita, i contenitori Docker non consentono l'accesso a nessun dispositivo. La modalità privilegiata garantisce l'accesso al contenitore Docker di un progetto a tutti i dispositivi. L'impostazione `privilegedMode` con valore `true` consente al demone Docker di funzionare all'interno di un contenitore Docker. Il daemon Docker ascolta le richieste dell'API Docker e gestisce oggetti Docker come immagini, contenitori, reti e volumi. Questo parametro deve essere impostato su true solo se il progetto di compilazione viene utilizzato per creare immagini Docker. Altrimenti, questa impostazione dovrebbe essere disabilitata per impedire l'accesso involontario a Docker APIs e all'hardware sottostante del contenitore. L'impostazione `false` consente `privilegedMode` di proteggere le risorse critiche da manomissioni ed eliminazioni.
### Correzione
Per configurare le impostazioni dell'ambiente di CodeBuild progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) per l'*CodeBuild utente*. Nella sezione **Ambiente**, non selezionare l'impostazione **Privileged**.
## [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::CodeBuild::ReportGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i risultati dei test di un gruppo di AWS CodeBuild report esportati in un bucket Amazon Simple Storage Service (Amazon S3) sono crittografati quando sono inattivi. Il controllo fallisce se l'esportazione del gruppo di report non è crittografata quando è inattivo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
*Per crittografare l'esportazione del gruppo di report in S3, consulta [Aggiornare un gruppo di report](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) nella Guida per l'utente.AWS CodeBuild *