3月多起供應鏈攻擊揭露CI/CD管線風險，GitLab提出防護建議

近期多起軟體供應鏈攻擊事件接連曝光

近期多起軟體供應鏈攻擊事件接連曝光，顯示攻擊手法已延伸至開發流程，對企業軟體供應鏈安全帶來風險。例如，2026年3月25日的報導指出，攻擊者試圖從惡意網域 scan.aquasecurtiy.org 拉取4個Go語言的惡意檔案，竊取敏感資訊，包括環境變數、API金鑰與存取權杖（Token）等。

GitLab作為整合軟體開發平臺，其CI/CD管線存在多項安全漏洞，包括高風險漏洞CVE-2021-39935與CVE-2024-9164，攻擊者可利用這些漏洞觸發資料洩露、阻斷服務或繞過安全限制。

針對這些風險，GitLab已發布多個版本更新，如18.6.1、18.5.3與18.4.5，修補了可能導致身份驗證繞過、憑證竊取與拒絕服務（DoS）攻擊的缺陷，並建議所有自託管版使用者儘速升級以確保系統安全。

專家建議企業應立即封鎖對.git等隱藏目錄的公開存取，並確認所有對外入口點的安全性。此外，美國CISA亦將GitLab漏洞納入KEV清單，要求聯邦機關限期完成修補，企業亦應積極檢視自身CI/CD流程與供應鏈安全。