Workshop Overview
WS2-09 | Oct 22 (Wed) 16:20-18:20 | Workshop | Consecutive Translation
Note: This workshop was delivered in English with consecutive translation services provided.
Today’s CI/CD platforms have access to code, secrets, cloud, and infrastructure, making them prime attack targets. This session explains how attackers abuse GitHub Actions, GitLab CI, and Jenkins runners to perform privilege escalation, secret exfiltration, and backdoor deployment—all executed from within automated workflows.
Learning Outcomes
- Identifying critical trust boundaries in CI/CD setups
- Understanding runner abuse, artifact contamination, and token leakage
- Comparative evaluation of default vs. secure pipeline configurations
- Applying security hardening measures that actually work
Target Audience & Prerequisites
What to Bring: Laptop
This workshop is designed for developers, DevOps engineers, and security professionals interested in CI/CD pipeline security.
Event Information
- Event: Security Days 2025 Fall
- Venue: Tokyo Venue
- Date & Time: October 22, 2025 (Wed) 16:20-18:20
- Format: Workshop
- Translation: Consecutive translation available
- Official Site: Security Days 2025 Fall
日本語版 / Japanese Version
ワークショップ概要
WS2-09 | 10.22(水) 16:20-18:20 | ワークショップ | 逐次通訳
注:このワークショップは英語で実施され、逐次通訳サービスが提供されました。
今日のCI/CDプラットフォームは、コード、シークレット、クラウド、そしてインフラにまでアクセスできるため、主要な攻撃対象となっています。このセッションでは、攻撃者がGitHub Actions、GitLab CI、およびJenkinsのランナーをどのように悪用し、権限昇格、シークレット情報の持ち出し、そしてバックドアのデプロイを行うのかを解説します。これらは全て自動化ワークフロー内部から実行されるのです。
学習の成果
- CI/CDセットアップにおける重要な信頼境界の特定
- ランナーの悪用、アーティファクトの汚染、トークンの漏洩に関する理解
- デフォルトとセキュアなパイプライン構成の比較評価
- 実際に効果のあるセキュリティ強化策を適用する
対象者・前提条件
持ち物: ノートPC
このワークショップは、CI/CDパイプラインのセキュリティに興味のある開発者、DevOpsエンジニア、セキュリティ専門家を対象としています。
イベント情報
- イベント: Security Days 2025 Fall
- 会場: 東京会場
- 日時: 2025年10月22日(水)16:20-18:20
- 形式: ワークショップ
- 通訳: 逐次通訳あり
- 公式サイト: Security Days 2025 Fall