今日のCI/CDプラットフォームは、コード、シークレット、クラウド、そしてインフラにまでアクセスできるため、主要な攻撃対象となっています。このセッションでは、攻撃者がGitHub Actions、GitLab CI、およびJenkinsのランナーをどのように悪用し、権限昇格、シークレット情報の持ち出し、そしてバックドアのデプロイを行うのかを解説します。これらは全て自動化ワークフロー内部から実行されるのです。 ・得られる成果 - CI/CDセットアップにおける重要な信頼境界の特定ことができる - ランナーの悪用、アーティファクトの汚染、トークンの漏洩に関する理解することができる - デフォルトとセキュアなパイプライン構成の比較評価できる - 実効性のあるハードニングを実践することができる ・聴講者レベル 中級者向け：その分野での学識と経験があり、提示されるトピックに精通している。そのトピックに関する実践的なスキルを習得するための基礎知識を持っている方向け ・事前に準備していただくもの 1. 個人用ノートパソコン 2. Google Cloud ConsoleとCloud ShellにアクセスできるGoogleアカウント（参照：docs.cloud.google.com/shell/docs/launching-cloud-shell） 3. 個人のGitHubアカウント 4. サポート用のDiscordアカウント ワークショップの時間に限りがあるため、トラブルシューティングのサポートはできません。 もしシステムが作動しない場合に関しましては他の受講者の方の動作をご確認の上、後日ワークショップ終了後にお試しください。