Raven: sicurezza per pipeline CI/CD open-source

Raven (Risk Analysis and Vulnerability Enumeration for CI/CD) è uno scanner di sicurezza per pipeline CI/CD open-source che rende visibili i rischi nascosti, connettendo i punti vulnerabili presenti lungo tutta la pipeline. Questo permette di individuare un rischio complessivo molto maggiore rispetto all'analisi di singole vulnerabilità (CVE) prese isolatamente.

Come funziona Raven

Inizialmente focalizzato su GitHub, Raven analizza i flussi di lavoro (workflows) all'interno di GitHub, suddividendoli in componenti individuali. Questi componenti vengono quindi inseriti in un database Neo4j come nodi distinti, stabilendo relazioni tra di loro. Questo permette una scansione agevole e l'identificazione di vulnerabilità nei flussi di lavoro.

Componenti di Raven

Raven è composto dai seguenti componenti:

1. Downloader: per scaricare i flussi di lavoro e le azioni necessarie all'analisi, sia per un'organizzazione specifica che per tutti i repository, ordinati per popolarità.

2. Indexer: per elaborare i dati scaricati all'interno di un database di tipo grafo (Neo4j), stabilendo le relazioni tra flussi di lavoro, azioni, job, step, ecc.

3. Query Library: una libreria di query predefinite basate sulla ricerca condotta dalla comunità.

4. Report: Raven fornisce una modalità semplice per segnalare eventuali riscontri sospetti. Ad esempio, può essere integrato nel processo di integrazione continua (CI) per i pull request e essere eseguito automaticamente in tale contesto.

Disponibilità di Raven

Raven è disponibile gratuitamente su GitHub.