近年来，供应链安全导致的勒索、数据泄露事件频发。2023年5月27日，俄罗斯勒索软件组织CL0P利用MOVEit transfer漏洞对全球各大企业发起大规模软件供应链攻击。MOVEit transfer是一款连接企业与云服务的重要工具，它能够确保数据在云环境中传输的安全和高效。此次事件深刻反映出了云服务供应链安全的重要性，连接云服务的第三方供应链安全也应得到足够多的重视。

云计算敏捷、弹性的特性促使企业纷纷上云，这使得云应用自身的开发、部署也逐渐遵循开发运营一体化（DevOps）的原则。一方面云计算为DevOps提供了灵活、可扩展的基础设施和服务支持。另一方面，DevOps也通过自动化的持续集成、持续部署，更好地适应云计算的快速、灵活和弹性的特点，加速了云计算的落地与实践。DevOps组件作为连接云服务的重要供应链，其安全性意义重大。

绿盟科技对DevOps流水线8个阶段的常用的工具（Confluence、Gitlab、Harbor、Sonarqube、Jenkins、Docker、Kubernetes及Prometheus）在互联网中的暴露及风险情况进行了测绘。结果表明：互联网中存在大量本不应该暴露的DevOps组件，且部分组件仍存在N Day漏洞。这类风险容易被黑客利用，可能导致无法估量的安全事件发生。本文将对《2023公有云安全风险分析报告》中连接云服务的第三方供应链安全风险章节进行解读。

本报告对所研究组件的在互联网中的暴露情况进行了分析。图1展示了这些组件的暴露情况。其中，暴露数量前三的组件分别为Jenkins、Gitlab及Prometheus，暴露数量分别为63579个、41441个及37218个。

图1 DevOps组件暴露情况

图2展示互联网暴露组件的地区分布情况。其中，暴露DevOps组件数量排名前十地区分别是美国、中国、德国、印度、法国、新加坡、俄罗斯、英国、爱尔兰及韩国，暴露数量分别为54452个、45960个、22673个、8390个、7858个、7156个、6870个、5962个、5836个及5823个。

图2 暴露DevOps组件地区分布情况

本报告我们也对互联网中暴露DevOps组件的攻击面进行了分析。图3展示了暴露的DevOps组件存在N Day漏洞的情况，约有45%的暴露DevOps不同程度存在N Day漏洞。这些N Day漏洞增加了DevOps流水线的攻击面，会带来严重的安全风险。

图3 暴露DevOps组件的漏洞情况

图4展示了含有N Day漏洞的组件分布情况。其中，含有N Day数量排名前三的组件分别是Gitlab、Jenkins及Confluence，暴露数量分别为32195个、25360个及21117个。

图4 含有漏洞的DevOps组件分布情况

DevOps倡导的持续集成和持续部署与云计算所倡导的敏捷、弹性、自动化不谋而合。DevOps作为连接云的重要“供应链”，它的任一环节的风险都可能给上游的云计算环境造成服务中断、数据泄露、投毒、勒索攻击等安全事件。因此，DevOps组件的风险不容小觑，DevOps的安全实践变得极其重要。用户应遵循相关等保要求，按照最佳实践进行组件配置，来减少组件的暴露面，降低组件的攻击面。