피드로 돌아가기
Cilium publishes its CI hardening playbook, gaps and all
Dev.toDev.to
Security

Keyless OIDC 기반의 CI/CD Hardening 및 공급망 보안 체계 구축

Cilium publishes its CI hardening playbook, gaps and all

Leo2026년 6월 26일4advanced

Context

오픈소스 프로젝트의 CI 파이프라인 내 과도한 신뢰 부여로 인한 보안 취약점 상존. 특히 장기 보관형 Signing Key의 유출 가능성과 권한 관리가 미흡한 GITHUB_TOKEN의 오남용 리스크 해결이 필요함.

Technical Solution

  • GITHUB_TOKEN 권한을 read-only로 제한하고 필요한 경우에만 명시적 권한을 부여하는 Least Privilege 원칙 적용
  • actions/checkout 사용 시 persist-credentials: false 설정을 통해 다운스트림 단계의 토큰 재사용 경로 차단
  • Sigstore Cosign의 keyless OIDC 모드를 도입하여 정적 키 관리 부담을 제거하고 Workflow Identity 기반의 신뢰 루트 구축
  • CI 빌드 결과물을 Development Registry에 우선 배치하고, 검증된 Release Tag만 보호된 환경(Protected Environments)을 통해 배포하는 파이프라인 분리
  • Tag Immutability 설정을 통해 릴리스 태그의 임의 수정 및 덮어쓰기를 방지하는 무결성 보장 구조 설계
  • SBOM 생성 및 spdxjson predicate 기반의 Attestation을 통한 소프트웨어 공급망 투명성 확보

- CI 워크플로 내 GITHUB_TOKEN 권한 최소화 및 persist-credentials 비활성화 여부 점검 - 정적 GPG/Private Key 대신 OIDC 기반 Keyless Signing 도입 검토 - CI-Production 레지스트리 분리 및 승인 기반의 Protected Environment 구축 - 외부 액션 사용 시 @main 태그가 아닌 Full SHA 핀 고정 적용 여부 확인 - SBOM 생성 및 이미지 서명 검증 프로세스 자동화 파이프라인 구축

원문 읽기