Fragen? Antworten! Siehe auch: Alternativlos
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hältst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Update: Oh, stellt sich raus: Das ist doch noch deutlich schlimmer. Man bindet codecov nämlich laut deren Anleitung wie folgt ein:
bash <(curl -s https://codecov.io/bash)
Und jetzt ratet mal, was die Angreifer dort manipuliert haben.