8 月 16 日消息,派拓網(wǎng)絡(luò)(Palo Alto Networks)旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報(bào)告,表示托管在 GitHub 上的很多熱門開(kāi)源項(xiàng)目存在身份認(rèn)證授權(quán)令牌(Auth tokens)泄露問(wèn)題,讓整個(gè)項(xiàng)目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風(fēng)險(xiǎn)。
Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內(nèi),很多開(kāi)源項(xiàng)目通過(guò) CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份驗(yàn)證 tokens 的問(wèn)題。
如果惡意行為者發(fā)現(xiàn)了這些 tokens,他們就可以利用它們?cè)L問(wèn)私有存儲(chǔ)庫(kù)、竊取源代碼,甚至篡改源代碼,將合法項(xiàng)目變成惡意軟件。
Unit 42 部門表示,默認(rèn)設(shè)置、用戶錯(cuò)誤配置和安全檢查不足等問(wèn)題是上述問(wèn)題的核心。
其中一個(gè)關(guān)鍵問(wèn)題存在于“actions / checkout”操作中,默認(rèn)情況下,該操作會(huì)將 GitHub tokens 保存在本地 .git 目錄中(隱藏)。
但如果開(kāi)發(fā)者出于某種原因上傳了完整的簽出目錄,就會(huì)無(wú)意中暴露 .git 文件夾中的 GitHub tokens。
該部門在 GitHub 上共計(jì)發(fā)現(xiàn)了 14 個(gè)開(kāi)源項(xiàng)目 tokens:
Firebase (Google)
OpenSearch Security (AWS)
Clair (Red Hat)
Active Directory System (Adsys) (Canonical)
JSON Schemas (Microsoft)
TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)
CycloneDX SBOM (OWASP)
Stockfish
Libevent
Guardian for Apache Kafka (Aiven-Open)
Git Annex (Datalad)
Penrose
Deckhouse
Concrete-ML (Zama AI)
該部門已經(jīng)向 GitHub 和相應(yīng)的項(xiàng)目所有者報(bào)告了這一情況,但 GitHub 表示不會(huì)解決這一問(wèn)題,auth tokens 的安全性完全由項(xiàng)目所有者負(fù)責(zé)。
原創(chuàng)文章,作者:潮玩君,如若轉(zhuǎn)載,請(qǐng)注明出處:http://2079x.cn/article/674251.html