托管在 GitHub 上的諸多開源項(xiàng)目被曝存在 Auth tokens 泄露問題

8 月 16 日消息，派拓網(wǎng)絡(luò)（Palo Alto Networks）旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報(bào)告，表示托管在 GitHub 上的很多熱門開源項(xiàng)目存在身份認(rèn)證授權(quán)令牌（Auth tokens）泄露問題，讓整個(gè)項(xiàng)目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風(fēng)險(xiǎn)。

Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內(nèi)，很多開源項(xiàng)目通過 CI / CD 工作流中使用 GitHub Actions 操作，存在泄露身份驗(yàn)證 tokens 的問題。

如果惡意行為者發(fā)現(xiàn)了這些 tokens，他們就可以利用它們?cè)L問私有存儲(chǔ)庫、竊取源代碼，甚至篡改源代碼，將合法項(xiàng)目變成惡意軟件。

Unit 42 部門表示，默認(rèn)設(shè)置、用戶錯(cuò)誤配置和安全檢查不足等問題是上述問題的核心。

其中一個(gè)關(guān)鍵問題存在于“actions / checkout”操作中，默認(rèn)情況下，該操作會(huì)將 GitHub tokens 保存在本地 .git 目錄中（隱藏）。

但如果開發(fā)者出于某種原因上傳了完整的簽出目錄，就會(huì)無意中暴露 .git 文件夾中的 GitHub tokens。

該部門在 GitHub 上共計(jì)發(fā)現(xiàn)了 14 個(gè)開源項(xiàng)目 tokens：

Firebase （Google）

OpenSearch Security （AWS）

Clair （Red Hat）

Active Directory System （Adsys） （Canonical）

JSON Schemas （Microsoft）

TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft （Microsoft）

CycloneDX SBOM （OWASP）

Stockfish

Libevent

Guardian for Apache Kafka （Aiven-Open）

Git Annex （Datalad）

Penrose

Deckhouse

Concrete-ML （Zama AI）

該部門已經(jīng)向 GitHub 和相應(yīng)的項(xiàng)目所有者報(bào)告了這一情況，但 GitHub 表示不會(huì)解決這一問題，auth tokens 的安全性完全由項(xiàng)目所有者負(fù)責(zé)。