CY2YC/ci-cd-security-playbook

# CI/CD 安全手册 [](https://creativecommons.org/licenses/by-nc-sa/4.0/) []() ## 概述 涵盖 **8 类 CI/CD 漏洞** 的全面防御手册： - **GitLab CI/CD** - **GitHub Actions** - **CircleCI** - **Jenkins** 适用于安全工程师、漏洞赏金猎人以及进行授权测试的 DevSecOps 团队。 ## 内容包含 | 文件 | 描述 | |------|------| | [`PLAYBOOK.md`](PLAYBOOK.md) | 主手册：威胁模型、测试载荷、检测信号与缓解措施 | | [`SOURCES.md`](SOURCES.md) | 所有技术主张的已验证参考资料 | | [`examples/`](examples/) | 独立的 YAML/Groovy/Python 载荷示例 | ## 漏洞类别 1. 叉合并变量泄露 2. Runner 标签绑定错误 3. 组变量继承 4. Webhook 签名缺陷 5. 制品投毒 6. 触发令牌泄露 7. OAuth/SSO 绑定错误 8. Jenkins 沙箱绕过与插件漏洞 ## 检测工程 包含可直接使用的检测规则，适用于： - Splunk SPL 查询 - Elastic/Kibana JSON 规则 - Sigma YAML 规则 - 用于日志分析的 SQL 查询 ## ⚠️ 免责声明 **仅限授权安全测试与教育用途。** 未经明确书面许可，不得在任何系统上使用这些技术。未经授权的测试是非法的，并违反平台服务条款。 ## 许可证 本作品根据 [CC BY-NC-SA 4.0](https://creativecommons.org/licenses/by-nc-sa/4.0/) 授权。 - **需署名** — 请引用本仓库 - **非商业用途** — 未经许可不得用于商业用途 - **相同方式共享** — 衍生作品必须使用相同许可证 ## 贡献 发现错误或有补充内容？请提交问题或拉取请求，内容包括： - 变更的清晰描述 - 支持性证据（文档、CVE 引用） - 已验证的测试用例（如适用） *维护者：CY2YC*

标签：BurpSuite集成, CI/CD安全, CircleCI, DevSecOps, Elasticsearch, GitHub Actions, GitLab CI/CD, Jenkins, Llama, OAuth安全, PB级数据处理, Sigma规则, SSO安全, URL发现, Webhook安全, XML 请求, 上游代理, 人体姿态估计, 令牌泄漏, 变量注入, 多线程, 威胁建模, 安全合规, 安全培训, 安全开发, 安全检测, 安全测试, 安全策略, 安全编码, 安全运维, 密钥泄露, 工件污染, 开源框架, 持续交付, 持续集成, 授权测试, 提示注入防御, 提示词设计, 插件漏洞, 攻击性安全, 教育研究, 沙箱绕过, 测试清单, 源代码安全, 目标导入, 管理员页面发现, 结构化查询, 网络代理, 自动化安全, 自动笔记, 规则工程, 逆向工具