1. Ultra Thinking 【GMO Flatt Security】
  2. Dependabotの自動マージも危な..
Dependabotの自動マージも危ない?CIで任意コード実行されるパターンが多すぎる話
2026-03-26 38:41

Dependabotの自動マージも危ない?CIで任意コード実行されるパターンが多すぎる話

今回は、開発の要であるCI/CDパイプラインをターゲットにしたセキュリティリサーチを読み解きます。Dependabotの自動マージの設定不備を突いた攻撃手法やCI/CD環境の正規ツールでの任意コード実行手法など、CIで様々な任意コード実行されるパターンについて話しました。📝 今回のトピック オープニング Google Cloud Build コメント機能のレースコンディション Dependabot 自動マージのバイパス Terraform State改ざんによる権限昇格リスクとコード実行 CI/CD環境の正規ツールが攻撃に悪用される脅威 エンディング📚 参照・紹介した記事/サイト・Who's SHA is it Anyway: Bypassing Google Cloud Build Comment Control for $30,000https://adnanthekhan.com/posts/cloud-build-toctou/・GITHUB ACTIONS EXPLOITATION: DEPENDABOThttps://www.synacktiv.com/publications/github-actions-exploitation-dependabot・Hacking Terraform State for Privilege Escalationhttps://plerion.com/blog/hacking-terraform-state-for-privilege-escalation・Living Off The Pipeline (LOTP)https://boostsecurityio.github.io/lotp/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。

感想

まだ感想はありません。最初の1件を書きましょう!

38:41

コメント

スクロール