Unfathomable bugs #10: The Broken Windows Build

Securing CI/CD for an open source project, part 3: Credentials, verification, and what’s next

Bài viết thứ ba trong loạt bài tăng cường CI/CD của Cilium tập trung vào cô lập credential, ký ảnh (image signing) và xác thực chuỗi cung ứng, bao gồm sử dụng Sigstore Cosign, SPDX SBOMs, DCO sign-offs, cũng như liệt kê những hạn chế còn tồn tại như thiếu SLSA provenance hay govulncheck. Ngoài ra, bài viết còn đối chiếu lộ trình bảo mật 2026 của GitHub Actions với các biện pháp hiện tại và kế hoạch tương lai của Cilium.

Lập trình viên cần đọc bài này để hiểu cách bảo mật hóa chi tiết cho quy trình CI/CD của dự án mở nguồn, từ cách quản lý mật khẩu an toàn đến việc xác thực và triển khai các giải pháp hiện đại như OIDC và SBOM, giúp tránh rủi ro từ các lỗ hổng trong chuỗi cung ứng.

Agentic Pipelines now supports OpenAI Codex

Bitbucket Pipelines giờ đây hỗ trợ OpenAI Codex như một nhà cung cấp agent AI, bổ sung cùng Claude và Rovo Dev. Các team có thể kích hoạt agent Codex thông qua các sự kiện như merge code, lịch trình, build thất bại hoặc bình luận PR bằng từ khóa provider: codex trong file cấu hình bitbucket-pipelines.yml. Tích hợp này cho phép cấu hình model pinning, sandbox và kết nối MCP server qua file codex-config-overrides.toml.

Lập trình viên nên đọc bài này để khám phá cách tích hợp Codex vào pipeline CI/CD của mình để tự động hóa việc sửa lỗi, bảo trì mã và đồng bộ hóa dự án một cách hiệu quả, giảm thiểu thời gian thủ công trong quá trình phát triển.

Mastering Secure CI/CD for ECS with GitHub Actions

Bài viết hướng dẫn xây dựng quy trình CI/CD bảo mật cho Amazon ECS trên Fargate bằng GitHub Actions, bao gồm tối ưu vận hành (gộp workflow, tag ảnh bằng commit hash, quản lý task definitions/services với ecspresso) và tăng cường bảo mật (AssumeRole không dùng key với OpenID Connect, quét lỗ hổng bằng Trivy/Dockle, multi-stage builds). Mục tiêu là giúp người đọc triển khai pipeline hiệu quả và an toàn cho dự án.

Lập trình viên nên đọc bài này để tìm hiểu cách xây dựng và tối ưu hóa pipeline CI/CD an toàn trên AWS ECS với GitHub Actions, từ việc giảm diện tích tấn công cho đến quản lý quyền và kiểm tra lỗ hổng hiệu quả.

Cypress Ambassador Spotlight: Vladimir Mikhalev

Vladimir Mikhalev, Cypress Ambassador kiêm Field CTO, chia sẻ động lực thúc đẩy Cypress trong cộng đồng DevOps và testing, đặc biệt ưa thích tính năng time-travel debugging. Ông khuyến nghị kiểm thử hành vi thay vì triển khai, đồng thời hướng dẫn người mới bắt đầu từ test cơ bản, sử dụng Test Runner, tài liệu chính thức, rồi tích hợp dần vào CI/CD như GitHub Actions.

Là người muốn nâng cao hiệu quả kiểm thử tự động và tối ưu hóa quy trình DevOps, bạn nên đọc bài này để khám phá cách Vladimir Mikhalev, một chuyên gia hàng đầu, khuyến khích tập trung vào kiểm thử hành vi thay vì mã nguồn và giới thiệu cách áp dụng Cypress một cách hiệu quả từ cơ bản đến CI/CD.

From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach

FortiGuard Labs details a real-world attack chain where the Shai Hulud supply chain worm (attributed to TeamPCP, targeting npm/PyPI packages) compromised a Jenkins CI/CD runner in May 2026, leading to full AWS account takeover and Amazon Redshift data exfiltration. The attacker stole EC2 instance metadata credentials, used them externally to escalate IAM privileges by creating a rogue 'cloudops-monitor' admin user, manipulated Aurora RDS and Redshift security groups, enumerated Secrets Manager for warehouse credentials, and ran ~90 Redshift Data API query cycles to exfiltrate data. Exfiltration tradecraft included explicitly named IAM policies (exfil-s3-write, exfil-s3-full) and STS session names (exfil, exfil10, exfil12). FortiCNAPP generated 1,095 observations correlated under a single 'Potentially Compromised Keys' alert. Defenders are advised to treat CI/CD runners as tier-0 identities, alert on external instance credential use, guard datastore control planes, and hunt attacker-named IAM artifacts.

SBOM Generation for Container Workflows

86% of organizations struggle with SBOM generation, often due to tool sprawl and inconsistent pipelines. Build-time generation is superior to post-build scanning because it captures the resolved dependency graph including transitive dependencies, while post-build scanners rely on heuristics and miss statically linked binaries. Five criteria determine SBOM quality: completeness, accuracy (resolved versions not declared ranges), freshness, verifiability via cryptographic attestation, and format compliance (SPDX or CycloneDX). The generation toolchain itself is attack surface — tools should be pinned to immutable references like commit SHAs. For CI/CD integration, SBOMs should be generated at build time, attached as OCI attestations bound to the image digest, validated before publishing, and paired with continuous scanning for new CVEs. Docker Hardened Images ship with pre-built SBOMs, SLSA Build Level 3 provenance, and OpenVEX data, eliminating the generation burden for base layers.

Shift Left Performance Testing in CI/CD: A Practical LoadRunner Framework

Many teams delay performance testing until QA or staging, leading to late bottleneck discovery and costly fixes. This post presents a practical framework for integrating LoadRunner Enterprise into CI/CD pipelines using Python automation scripts and GitLab YAML configuration. The approach defines a sanity performance suite targeting critical APIs (login, search, checkout), enforces thresholds (e.g., latency <300ms, error rate <1%) directly in the dev pipeline, and blocks promotion to QA if thresholds are breached. Key components include pipeline configuration with API authentication, a Python script for test execution and real-time failure monitoring, and cross-platform runner support. Common pitfalls like running too many tests per commit and ignoring environment differences are also addressed.