{"id":5693,"date":"2023-10-03T15:03:54","date_gmt":"2023-10-03T18:03:54","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/vulnerabilidades-em-pipelines\/"},"modified":"2023-10-03T15:03:54","modified_gmt":"2023-10-03T18:03:54","slug":"vulnerabilidades-em-pipelines","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/","title":{"rendered":"Vulnerabilidades em Pipelines"},"content":{"rendered":"<p class=\"cuerpo-nota\">Na \u00faltima d\u00e9cada, muito se falou sobre as metodologias DevSecOps e como esses processos automatizados podem aplicar uma sanitiza\u00e7\u00e3o em toda a infraestrutura de nossas aplica\u00e7\u00f5es. Esse ponto de interesse fez evoluir a forma como analisamos os sistemas. Deixamos de visualizar e auditar as aplica\u00e7\u00f5es do ponto final (quando est\u00e3o em produ\u00e7\u00e3o) e passamos a adotar uma abordagem din\u00e2mica e interativa que acompanha o ciclo cl\u00e1ssico de desenvolvimento seguro de software desde o in\u00edcio.<\/p>\n<p>Est\u00e1 claro que essa mudan\u00e7a de perspectiva ajuda muito na forma como abordamos os projetos e a arquitetura das aplica\u00e7\u00f5es. Como resultado, cada desenvolvimento se torna cada vez mais robusto em termos de seguran\u00e7a. Agora, os analistas de seguran\u00e7a t\u00eam acesso \u00e0 informa\u00e7\u00e3o em tempo real e podem gerar alertas precoces para evitar assumir um custo maior ao corrigir uma vulnerabilidade durante o ciclo de desenvolvimento.<\/p>\n<p>Embora as aplica\u00e7\u00f5es sejam agora mais robustas, os atacantes s\u00e3o for\u00e7ados a planejar novos vetores de ataque associados aos novos recursos. Esses recursos est\u00e3o ligados \u00e0 forma como automatizamos as tarefas de prote\u00e7\u00e3o e \u00e0 arquitetura que usamos para projetar nossa abordagem DevSecOps. Entre eles, um dos pontos mais importantes s\u00e3o os\u00a0<b>Pipelines<\/b>.<\/p>\n<p><span class=\"subtitulo-nota\">Un Pipeline<\/span><\/p>\n<p>Um pipeline \u00e9 um conjunto de processos e ferramentas usados para coletar dados brutos de v\u00e1rias fontes, analis\u00e1-los e apresentar os resultados em um formato compreens\u00edvel. Isso, em um fluxo de DevSecOps, \u00e9 crucial, pois est\u00e1 associado ao processo de an\u00e1lise e melhoria cont\u00ednua relacionado especificamente ao c\u00f3digo. Vale ressaltar que ele n\u00e3o \u00e9 usado apenas para fluxos de desenvolvimento seguro, mas tamb\u00e9m em diversos setores relacionados \u00e0 an\u00e1lise de dados.<\/p>\n<p>Os pipelines s\u00e3o ferramentas muito poderosas e \u00fateis, por isso o processamento ou a manipula\u00e7\u00e3o dessa informa\u00e7\u00e3o \u00e9 frequentemente de grande interesse para os atacantes.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60a.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">Pipeline CI\/CD<br \/>\n(Continuous Integration\/Continuous Development)<\/span><\/p>\n<p>Um Pipeline de CI\/CD \u00e9 o componente fundamental do desenvolvimento de software automatizado. Embora o termo tenha sido usado para descrever muitos aspectos diferentes da computa\u00e7\u00e3o, em grande parte da ind\u00fastria de DevOps, usamos &#8220;Pipelines&#8221; para ilustrar as amplas aplica\u00e7\u00f5es de comportamentos e processos envolvidos na integra\u00e7\u00e3o cont\u00ednua (CI).<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60b.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Dentro dessas novas funcionalidades, encontramos as seguintes vulnerabilidades potenciais que podem estar afetando os pipelines que s\u00e3o implantados de forma n\u00e3o supervisionada.<\/p>\n<p><span class=\"subtitulo-nota\">Broken Authentication en CI\/CD<\/span><\/p>\n<p>Descuidos no design da autoriza\u00e7\u00e3o e autentica\u00e7\u00e3o dos canais de CI e CD podem ocorrer no momento em que se desenha o esquema de pap\u00e9is e permiss\u00f5es. Alguns dos seguintes exemplos podem ser evitados tendo o processo adequado que valide todas essas configura\u00e7\u00f5es. Entre todos os m\u00e9todos, podemos encontrar os seguintes:<\/p>\n<p>\u2022\u00a0<b>Adicionar aprovador n\u00e3o autorizado usando permiss\u00f5es de administrador:<\/b><br \/>\n\u2022\u00a0Neste cen\u00e1rio, um atacante com permiss\u00f5es de administrador no canal de integra\u00e7\u00e3o cont\u00ednua (CI) adiciona um usu\u00e1rio n\u00e3o autorizado como aprovador, possivelmente contornando as verifica\u00e7\u00f5es de seguran\u00e7a necess\u00e1rias.<br \/>\nEx: ci-tool add-approver &#8211;pipeline pipeline-name &#8211;user unauthorized-user<\/p>\n<p>\u2022\u00a0<b>Autentica\u00e7\u00e3o Fraca:<\/b><br \/>\n\u2022\u00a0Neste cen\u00e1rio, um atacante aproveita os mecanismos de autentica\u00e7\u00e3o fracos para obter acesso de administrador \u00e0 ferramenta de integra\u00e7\u00e3o cont\u00ednua (CI) e manipular a configura\u00e7\u00e3o dos aprovadores, realizando, por exemplo, um ataque de for\u00e7a bruta.<br \/>\nEx :ci-tool login &#8211;username admin &#8211;password weakpassword<\/p>\n<p>\u2022\u00a0Manipula\u00e7\u00e3o de Token:<br \/>\nEx: ci-tool &#8211;api-token stolen-token add-approver &#8211;pipeline pipeline-name &#8211;user unauthorized-user<\/p>\n<p><span class=\"subtitulo-nota\">M\u00e1 gest\u00e3o de Segredos<\/span><\/p>\n<p>Os pipelines est\u00e3o constantemente conectados a recursos associados a outras aplica\u00e7\u00f5es, servi\u00e7os ou, em sua falta, credenciais espec\u00edficas associadas a recursos produtivos importantes. Ter uma gest\u00e3o adequada de segredos \u00e9 essencial para evitar os problemas listados a seguir:<\/p>\n<p>\u2022\u00a0<b>Autoriza\u00e7\u00e3o incorreta de reposit\u00f3rios<\/b>:<br \/>\n\u2022\u00a0Neste cen\u00e1rio, um invasor obt\u00e9m acesso a um pipeline CI\/CD que interage com um gerenciador de segredos e tira proveito de permiss\u00f5es fracas para recuperar credenciais sens\u00edveis.<br \/>\nEx: ci-tool get-secrets &#8211;repository malicious-repo &#8211;secret-manager secretmanager-nam<\/p>\n<p>\u2022\u00a0<b>Inje\u00e7\u00e3o de c\u00f3digo<\/b>:<br \/>\n\u2022\u00a0O invasor envia um c\u00f3digo malicioso manipulado para um reposit\u00f3rio leg\u00edtimo, que, quando executado no pipeline, captura segredos ou os utiliza para realizar a\u00e7\u00f5es n\u00e3o autorizadas.<br \/>\nEx: echo &#8220;echo $SECRET_VARIABLE&#8221; &gt;&gt; main.py<\/p>\n<p>\u2022\u00a0<b>Obter credenciais do console de administra\u00e7\u00e3o CI\/CD<\/b>:<br \/>\n\u2022\u00a0Recuperar o acesso \u00e0 AWS e chaves secretas a partir de um console de administra\u00e7\u00e3o CI\/CD para depois pass\u00e1-las como vari\u00e1veis de ambiente<br \/>\nEx: export AWS_ACCESS_KEY_ID=$(aws ssm get-parameter &#8211;name \/path\/to\/access_key &#8211; -with-decryption &#8211;query Parameter.Value &#8211;output text) export AWS_SECRET_ACCESS_KEY=$(aws ssm get-parameter &#8211;name \/path\/to\/secret_key &#8211;with-decryption &#8211;query Parameter.Value &#8211;output text) pipeline-stage-command<\/p>\n<p>\u2022\u00a0Recuperar um segredo do Hashicorp Vault e pass\u00e1-lo como uma vari\u00e1vel para a etapa do pipeline:<br \/>\nEx: export SECRET=$(vault kv get -format=json secret\/path\/to\/secret | jq -r &#8216;.data.key&#8217;) pipeline-stage-command<\/p>\n<p>\u2022\u00a0Recuperar um segredo do Kubernetes a partir do console de administra\u00e7\u00e3o e faz\u00ea-lo passar como um volume montado na etapa do pipeline:<br \/>\nEx: kubectl create secret generic my-secret &#8211;from-literal=username=&lt;username&gt; &#8212; from-literal=password=&lt;password&gt;<br \/>\nkubectl create volume secret my-secret-volume &#8211;secret=my-secret pipeline-stage-command &#8211;volume=my-secret-volume:\/secrets<\/p>\n<p><span class=\"subtitulo-nota\">Ambiente de produ\u00e7\u00e3o exposto por m\u00e1 configura\u00e7\u00e3o<\/span><\/p>\n<p>A mesma hist\u00f3ria que ocorre nas aplica\u00e7\u00f5es que esses pipelines verificam. Geralmente associada a um erro acumulado ou a uma abordagem equivocada sobre a sensa\u00e7\u00e3o de seguran\u00e7a aplicada \u00e0 configura\u00e7\u00e3o dos pipelines CI\/CD.<\/p>\n<p>\u2022\u00a0<b>Vari\u00e1veis de ambiente mal configuradas<\/b>:<br \/>\n\u2022\u00a0Este exemplo vem da identifica\u00e7\u00e3o de vari\u00e1veis mal configuradas e da explora\u00e7\u00e3o dessas vari\u00e1veis com o objetivo de obter acesso n\u00e3o autorizado a diferentes recursos.<br \/>\nEx: ci-tool get-secrets &#8211;repository legitimate-repo &#8211;secret-manager $MISCONFIGURED_VARIABLE<\/p>\n<p>\u2022\u00a0<b>Modifica\u00e7\u00e3o de uma configura\u00e7\u00e3o n\u00e3o autorizada<\/b>:<br \/>\n\u2022\u00a0Neste cen\u00e1rio, o atacante pode obter acesso ao pipeline e modificar a configura\u00e7\u00e3o do ambiente de produ\u00e7\u00e3o.<br \/>\nEx: # Modify the production environment configuration file echo &#8220;MALICIOUS_SETTING = True&#8221; &gt;&gt; production.config<\/p>\n<p>\u2022\u00a0<b>Scripts mal configurados<\/b>:<br \/>\n\u2022\u00a0O atacante pode identificar o desenvolvimento de um script mal configurado e explor\u00e1-lo para modificar o ambiente de produ\u00e7\u00e3o.<br \/>\nEj: # Exploit misconfigured deployment script to modify production configuration ci-tool run-deployment-script &#8211;script &#8220;sed -i &#8216;s\/ALLOW_PUBLIC_ACCESS = False\/ALLOW_PUBLIC_ACCESS = True\/&#8217; production.config&#8221;<\/p>\n<p>\u2022\u00a0<b>Gerenciador de configura\u00e7\u00f5es inseguro<\/b>:<br \/>\n\u2022\u00a0A seguir, podemos visualizar um exemplo de c\u00f3digo onde podemos encontrar essa falha. No exemplo mostrado na captura seguinte, a fun\u00e7\u00e3o\u00a0<b>deploy\u00a0<\/b>\u00e9 parte de um script. O par\u00e2metro\u00a0<b>repo_url<\/b>\u00a0pretende ser um reposit\u00f3rio git v\u00e1lido. No entanto, devido a uma valida\u00e7\u00e3o inadequada da entrada, um atacante poderia injetar comandos arbitr\u00e1rios adicionando-os ao par\u00e2metro\u00a0<b>repo_url<\/b>. Neste caso, o atacante pode adicionar o comando (rm -rf \/) para apagar todo o sistema de arquivos..<\/p>\n<p>C\u00f3digo:<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60c.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Reposit\u00f3rio potencialmente malicioso:<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60d.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">\u00a0\u2022\u00a0<b>Armazenamento inseguro de credenciais<\/b>:<br \/>\n\u2022\u00a0No exemplo mostrado na captura, a fun\u00e7\u00e3o list_buckets usa o SDK da AWS para interagir com o Amazon S3. O c\u00f3digo depende do comportamento padr\u00e3o de busca de credenciais do SDK, que verifica v\u00e1rios arquivos de configura\u00e7\u00e3o em busca das credenciais da AWS. No entanto, o pipeline tem uma falha de seguran\u00e7a onde as credenciais da AWS s\u00e3o armazenadas de forma insegura. Um atacante pode executar um comando (cat ~\/.aws\/credentials) para recuperar as credenciais da AWS e potencialmente obter acesso n\u00e3o autorizado aos recursos da AWS.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60e.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">Todos esses pontos s\u00e3o importantes para evitar o efeito conhecido como &#8220;snowball&#8221;, onde o ac\u00famulo de erros ocorre ao longo de todas as cadeias de desenvolvimento implementadas em nosso CI\/CD. \u00c9 por isso que abordar esses erros desde o in\u00edcio \u00e9 de grande utilidade para evitar um problema maior no futuro.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60f.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">Ferramentas que podem nos ajudar<\/span><\/p>\n<p>Como veremos a seguir, o uso de componentes externos continua causando dores de cabe\u00e7a se eles n\u00e3o passarem por uma valida\u00e7\u00e3o adequada.<\/p>\n<p>\u2022\u00a0<b>Trufflehog<\/b>:<br \/>\n\u2022\u00a0TruffleHog \u00e9 um scanner de dados sens\u00edveis para reposit\u00f3rios Git. Ele verifica a URL do reposit\u00f3rio Git especificado (<a href=\"https:\/\/example.com\/git-repo.git\">https:\/\/example.com\/git-repo.git<\/a>) usando correspond\u00eancia de padr\u00f5es de express\u00f5es regulares e an\u00e1lise de entropia para identificar informa\u00e7\u00f5es potencialmente sens\u00edveis, como chaves de API, senhas e outros segredos armazenados no reposit\u00f3rio.<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60g.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\">\u00a0\u2022\u00a0<b>Circleci<\/b>:<br \/>\n\u2022\u00a0Este comando usa a ferramenta CLI do CircleCI para simular a execu\u00e7\u00e3o de um arquivo de configura\u00e7\u00e3o do CircleCI (config.yml) localmente. Ele empacota o arquivo de configura\u00e7\u00e3o usando &#8220;circleci config pack&#8221; e depois executa o arquivo de configura\u00e7\u00e3o empacotado usando &#8220;circleci local execute&#8221;. Isso pode ajudar a identificar configura\u00e7\u00f5es incorretas, vulnerabilidades ou pr\u00e1ticas inseguras dentro do pipeline CI\/CD definido no arquivo de configura\u00e7\u00e3o do CircleCI..<br \/>\nEj: docker run -v $(pwd):\/src -w \/src -t circleci\/circleci-cli:latest circleci config pack .circleci &gt; config.yml &amp;&amp; circleci local execute -c config.yml<\/p>\n<p>\u2022\u00a0<b>Snyk<\/b>:<br \/>\n\u2022\u00a0Snyk \u00e9 uma ferramenta popular de varredura de seguran\u00e7a, usada para testar todos os projetos e subprojetos no diret\u00f3rio atual. Snyk verifica o c\u00f3digo-fonte e suas depend\u00eancias, procurando vulnerabilidades conhecidas, pr\u00e1ticas de codifica\u00e7\u00e3o inseguras e outros problemas de seguran\u00e7a. Isso ajuda a identificar e abordar fraquezas de seguran\u00e7a introduzidas por pr\u00e1ticas de codifica\u00e7\u00e3o inseguras.<br \/>\nEj: snyk test &#8211;all-projects &#8211;all-sub-projects<\/p>\n<p>\u2022\u00a0<b>npm<\/b>:<br \/>\n\u2022\u00a0O comando npm audit, integrado ao Node Package Manager (npm), realiza uma auditoria de seguran\u00e7a das depend\u00eancias em um projeto Node.js. Este comando verifica as depend\u00eancias do projeto contra o Banco de Dados Nacional de Vulnerabilidades (NVD) e gera um relat\u00f3rio destacando quaisquer vulnerabilidades conhecidas e pr\u00e1ticas de codifica\u00e7\u00e3o inseguras. Isso ajuda a identificar e abordar problemas de seguran\u00e7a introduzidos por depend\u00eancias implementadas de forma insegura ou desatualizadas.<\/p>\n<p>\u2022\u00a0<b>An\u00e1lise de Depend\u00eancia de Terceiros<\/b>:<br \/>\n\u2022\u00a0OWASP Dependency-Check \u00e9 uma ferramenta amplamente utilizada para identificar vulnerabilidades conhecidas nas depend\u00eancias do projeto. Ela verifica o projeto localizado em &lt;caminho-para-o-projeto&gt;, analisa as depend\u00eancias e gera um relat\u00f3rio em HTML (&#8211;format HTML) destacando quaisquer depend\u00eancias inseguras e\/ou componentes vulner\u00e1veis.<br \/>\nEj: OWASP-Dependency-Check &#8211;scan &lt;path-to-project&gt; &#8211;format HTML<\/p>\n<p><center><img decoding=\"async\" src=\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_60h.png\" \/><\/center>&nbsp;<\/p>\n<p class=\"cuerpo-nota\"><span class=\"subtitulo-nota\">Conclus\u00e3o<\/span><\/p>\n<p>Como identificamos neste post, revisamos v\u00e1rios pontos interessantes ao entender que, se implementarmos mecanismos automatizados para melhorar a seguran\u00e7a de nossas aplica\u00e7\u00f5es, isso n\u00e3o significa que devemos prestar menos aten\u00e7\u00e3o \u00e0 forma como projetamos nosso fluxo de automa\u00e7\u00e3o. A aten\u00e7\u00e3o \u00e0 seguran\u00e7a deve permanecer constante em todos os aspectos da nossa arquitetura e deve ser aprimorada com a mesma frequ\u00eancia e aten\u00e7\u00e3o que todos os nossos ativos.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<div class=\"referencias-nota-title\">\n<h5>Links de interesse<\/h5>\n<\/div>\n<div>\n<p>\u00a0\u2022\u00a0<a href=\"https:\/\/devsecopsguides.com\/docs\/attacks\/pipeline\">https:\/\/devsecopsguides.com\/docs\/attacks\/pipeline<\/a><br \/>\n\u2022\u00a0<a href=\"https:\/\/github.com\/rung\/threat-matrix-cicd\">https:\/\/github.com\/rung\/threat-matrix-cicd<\/a><br \/>\n\u2022\u00a0<a href=\"https:\/\/speakerdeck.com\/rung\/cd-pipeline\">https:\/\/speakerdeck.com\/rung\/cd-pipeline<\/a><br \/>\n\u2022\u00a0<a href=\"https:\/\/github.com\/FalconForceTeam\/FalconFriday\">https:\/\/github.com\/FalconForceTeam\/FalconFriday<\/a><br \/>\n\u2022\u00a0<a href=\"https:\/\/cloudsecdocs.com\/\">https:\/\/cloudsecdocs.com\/<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Na \u00faltima d\u00e9cada, muito se falou sobre as metodologias DevSecOps e como esses processos automatizados podem aplicar uma sanitiza\u00e7\u00e3o em toda a infraestrutura de nossas aplica\u00e7\u00f5es. Esse ponto de interesse fez evoluir a forma como analisamos os sistemas. Deixamos de visualizar e auditar as aplica\u00e7\u00f5es do ponto final (quando est\u00e3o em produ\u00e7\u00e3o) e passamos a [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":5305,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_wpcom_ai_launchpad_first_post":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[260],"tags":[],"class_list":["post-5693","post","type-post","status-publish","format-standard","has-post-thumbnail","category-technical-pt-br"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.9 (Yoast SEO v27.9) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Vulnerabilidades em Pipelines - BASE4 Security<\/title>\n<meta name=\"description\" content=\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Vulnerabilidades em Pipelines\" \/>\n<meta property=\"og:description\" content=\"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/\" \/>\n<meta property=\"og:site_name\" content=\"BASE4 Security\" \/>\n<meta property=\"article:published_time\" content=\"2023-10-03T18:03:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png\" \/>\n\t<meta property=\"og:image:width\" content=\"600\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Base4 Security Research\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Base4 Security Research\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/\"},\"author\":{\"name\":\"Base4 Security Research\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\"},\"headline\":\"Vulnerabilidades em Pipelines\",\"datePublished\":\"2023-10-03T18:03:54+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/\"},\"wordCount\":1827,\"commentCount\":0,\"publisher\":{\"@id\":\"\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_60.png\",\"articleSection\":[\"Technical\"],\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/\",\"name\":\"Vulnerabilidades em Pipelines - BASE4 Security\",\"isPartOf\":{\"@id\":\"\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_60.png\",\"datePublished\":\"2023-10-03T18:03:54+00:00\",\"description\":\"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#primaryimage\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_60.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/12\\\/blog_60.png\",\"width\":600,\"height\":600,\"caption\":\"POR: Mariano E Quintana (Cybersecurity Researcher & Trainer)\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/technical-pt-br\\\/vulnerabilidades-em-pipelines\\\/2023\\\/10\\\/03\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Vulnerabilidades em Pipelines\"}]},{\"@type\":\"WebSite\",\"@id\":\"\\\/#website\",\"url\":\"\\\/\",\"name\":\"BASE4 Security\",\"description\":\"Your cyber ally\",\"publisher\":{\"@id\":\"\\\/#organization\"},\"alternateName\":\"B4\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"\\\/#organization\",\"name\":\"BASE4 Security\",\"url\":\"\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"contentUrl\":\"https:\\\/\\\/base4sec.com\\\/wp-content\\\/uploads\\\/2024\\\/10\\\/Logo_policromo_negativo.png\",\"width\":372,\"height\":227,\"caption\":\"BASE4 Security\"},\"image\":{\"@id\":\"\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/base4-security\"],\"description\":\"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.\",\"email\":\"info@base4sec.com\",\"telephone\":\"02262653623\",\"legalName\":\"BASE4 Security\",\"foundingDate\":\"2008-01-16\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"51\",\"maxValue\":\"200\"}},{\"@type\":\"Person\",\"@id\":\"\\\/#\\\/schema\\\/person\\\/5905e7398728c03dbec3772861bd4f99\",\"name\":\"Base4 Security Research\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g\",\"caption\":\"Base4 Security Research\"},\"url\":\"https:\\\/\\\/base4sec.com\\\/pt-br\\\/author\\\/cliteplo\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Vulnerabilidades em Pipelines - BASE4 Security","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/","og_locale":"pt_BR","og_type":"article","og_title":"Vulnerabilidades em Pipelines","og_description":"An\u00e1lisis t\u00e9cnico y estrategia de ciberseguridad por el equipo de BASE4 Security. Insights sobre CyberSOC, Red Team, GRC y Zero Trust para LATAM y Espa\u00f1a.","og_url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/","og_site_name":"BASE4 Security","article_published_time":"2023-10-03T18:03:54+00:00","og_image":[{"width":600,"height":600,"url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","type":"image\/png"}],"author":"Base4 Security Research","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Base4 Security Research","Est. tempo de leitura":"9 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#article","isPartOf":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/"},"author":{"name":"Base4 Security Research","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99"},"headline":"Vulnerabilidades em Pipelines","datePublished":"2023-10-03T18:03:54+00:00","mainEntityOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/"},"wordCount":1827,"commentCount":0,"publisher":{"@id":"\/#organization"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","articleSection":["Technical"],"inLanguage":"pt-BR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/","url":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/","name":"Vulnerabilidades em Pipelines - BASE4 Security","isPartOf":{"@id":"\/#website"},"primaryImageOfPage":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#primaryimage"},"image":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#primaryimage"},"thumbnailUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","datePublished":"2023-10-03T18:03:54+00:00","description":"BASE4 Security, consultora de ciberseguridad con presencia en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Servicios de CyberSOC, Red Team, GRC y Zero Trust.","breadcrumb":{"@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#primaryimage","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","width":600,"height":600,"caption":"POR: Mariano E Quintana (Cybersecurity Researcher & Trainer)"},{"@type":"BreadcrumbList","@id":"https:\/\/base4sec.com\/pt-br\/technical-pt-br\/vulnerabilidades-em-pipelines\/2023\/10\/03\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/base4sec.com\/pt-br\/"},{"@type":"ListItem","position":2,"name":"Vulnerabilidades em Pipelines"}]},{"@type":"WebSite","@id":"\/#website","url":"\/","name":"BASE4 Security","description":"Your cyber ally","publisher":{"@id":"\/#organization"},"alternateName":"B4","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"\/#organization","name":"BASE4 Security","url":"\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"\/#\/schema\/logo\/image\/","url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","contentUrl":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/10\/Logo_policromo_negativo.png","width":372,"height":227,"caption":"BASE4 Security"},"image":{"@id":"\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/base4-security"],"description":"BASE4 Security es una consultora de ciberseguridad B2B con prop\u00f3sito, fundada en Argentina y con operaciones en Argentina, Chile, Per\u00fa, Colombia, M\u00e9xico y Espa\u00f1a. Ofrece servicios de CyberSOC, Red Team, GRC, Identity Security, Cloud Security y Application Security para empresas en SOLA y NOLA.","email":"info@base4sec.com","telephone":"02262653623","legalName":"BASE4 Security","foundingDate":"2008-01-16","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"51","maxValue":"200"}},{"@type":"Person","@id":"\/#\/schema\/person\/5905e7398728c03dbec3772861bd4f99","name":"Base4 Security Research","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/2fd8bd108b76c23a0df95f08c42f3f8653e30a2562d252777bc2a74096d212e4?s=96&d=mm&r=g","caption":"Base4 Security Research"},"url":"https:\/\/base4sec.com\/pt-br\/author\/cliteplo\/"}]}},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_60.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5693","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=5693"}],"version-history":[{"count":0,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5693\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/5305"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=5693"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=5693"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=5693"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}