GitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害される
GitHub Actions のセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目すべきオープンソース プロジェクトが侵害されました。
GitHub Actions の重大なセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目度の高いオープンソース プロジェクトの認証トークンが流出しました。この欠陥により、プライベート リポジトリへの不正アクセスや悪意のあるコードの挿入が可能になりました。
GitHub Actions は、GitHub と緊密に統合された継続的インテグレーションおよび継続的デリバリー (CI/CD) プラットフォームです。 2018 年にリリースされ、ユーザーは GitHub リポジトリ内で直接ビルド、テスト、デプロイのパイプラインを自動化できます。
この脆弱性は、これらのトークンが意図せず公開されていることを発見したパロアルトネットワークスのユニット 42 によって特定されました。驚くべきことに、状況の深刻さにも関わらず、GitHub は根本的な問題を修正しないことを決定しました。代わりに、ユーザーがワークフロー成果物を保護するための措置を講じることを推奨しています。この決定により、多くのユーザーが脆弱になり、不満を感じています。
Unit 42 の調査により、安全でないデフォルト設定やユーザー エラーなど、この脆弱性の原因となる可能性のあるいくつかの問題が浮き彫りになりました。主な問題の 1 つは、デフォルトで GitHub トークンをローカルの .git ディレクトリに保存する「actions/checkout」機能に関係しています。このディレクトリがアーティファクトのアップロードに含まれている場合、トークンが公開されます。
この脆弱性は、API キーやクラウド アクセス トークンなどの他の機密情報にも影響し、これらのアーティファクトを通じて漏洩する可能性があります。ビルド出力とテスト結果は最大 90 日間保存され、リポジトリへの読み取り権限を持つ誰でもアクセスできます。
CI/CD パイプラインが GitHub トークンを環境変数に保存するときに、別の脆弱性が発生します。ワークフロー内のアクションまたはスクリプトがこれらの環境変数をログに記録すると、それらが意図せず公開される可能性があります。たとえば、「スーパーリンター」アクションで「CREATE_LOG_FILE」プロパティを有効にすると、これらの変数をログに記録できます。
この脆弱性の悪用は、公開されるトークンの種類によって異なる可能性があります。たとえば、GitHub トークンが漏洩した場合、それを使用してログ ファイルから認証情報を抽出し、有効期限が切れる前に使用することができます。 GitHub トークンは通常、ワークフロー ジョブの期間中有効ですが、キャッシュとアーティファクト管理に使用される「Actions_Runtime_Token」は 6 時間有効です。これにより、攻撃者に限られた機会が与えられます。
ただし、Unit 42 が実施した調査では、これらのトークンには GitHub だけでなく、サードパーティのクラウド インフラストラクチャへのアクセスが含まれていることも示されています。これらのトークンを含むアーティファクトデータは最大 3 か月間一般にアクセス可能であることが判明したため、これによりセキュリティ上の懸念がさらに高まります。悪意のある攻撃者は、アーティファクトの取得を自動化し、トークンを抽出し、それらを使用して悪意のあるコードをリポジトリにプッシュする可能性があります。
この脆弱性を実証するために、研究者らはオープンソース プロジェクトにブランチを作成し、悪意のあるアーティファクトを処理するランナー上でリモート コード実行 (RCE) が行われる可能性を示しました。また、ソース ディレクトリの秘密を監査し、秘密漏洩のリスクが検出された場合にアーティファクトのアップロードをブロックする概念実証 (PoC) アクションも開発しました。
この調査結果は GitHub のバグ報奨金プログラムに提出されましたが、この問題は情報提供として分類され、アップロードされたアーティファクトを保護する責任はユーザーにあることが示唆されました。 GitHub からの反応は限られていましたが、洞察は Cyber Threat Alliance (CTA) と共有され、メンバーが保護措置を導入し、潜在的なサイバー脅威を阻止できるようになりました。
以上がGitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害されるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1668
14
1426
52
1328
25
1273
29
1255
24
ドージコインのメタバース飛躍: 未開発の可能性と隠れた課題を明らかにする
Nov 10, 2024 pm 12:40 PM
ドージコインがメタバースに野心的に参入するにつれて、いくつかの考えさせられる疑問が生じ、この動きが何を意味するのかについて新たな側面が明らかになります。
GitHub リポジトリ内のフォルダーを削除する方法について説明します。
Mar 27, 2023 am 11:33 AM
GitHub は、ユーザーがコード ベースをインターネット上に保存して共有できるようにする、非常に人気のあるバージョン管理システムです。プログラマーにとって必須のツールの 1 つです。ただし、GitHub リポジトリ内のフォルダーを削除する必要がある場合があります。この記事では、GitHubリポジトリ内のフォルダーを削除する方法を紹介します。
Windows 11/10にGitHub Copilotをインストールする方法
Oct 21, 2023 pm 11:13 PM
GitHubCopilot は、コードを適切に予測してオートコンプリートする AI ベースのモデルを備えた、プログラマーにとっての次のレベルです。ただし、この AI の天才をデバイスに導入して、コーディングをさらに簡単にする方法を疑問に思っているかもしれません。ただし、GitHub の使用は必ずしも簡単ではなく、初期設定プロセスは難しいものです。したがって、Windows 11、10 の VSCode に GitHub Copilot をインストールして実装する方法に関するステップバイステップのチュートリアルを作成しました。 Windows に GitHubCopilot をインストールする方法 このプロセスにはいくつかの手順があります。したがって、今すぐ以下の手順に従ってください。ステップ 1 – 最新バージョンの Visual Studio がコンピューターにインストールされている必要があります
Gitlab で保護されたブランチをセットアップして PR を送信する方法について話しましょう
Mar 30, 2023 pm 09:01 PM
この記事は Gitlab の学習についてであり、保護されたブランチを設定してリーダーに PR を送信する方法について説明しています。
GitHub プロジェクトを QR コードに変換する方法について話しましょう
Mar 27, 2023 am 11:33 AM
最新のソフトウェア開発において、GitHub は最も人気のあるプロジェクト ホスティング プラットフォームの 1 つです。開発者に、オープンソース プロジェクトを保存および管理するための便利なプラットフォームを提供します。 GitHub の興味深い機能は、プロジェクトのリンクを QR コードに変換することです。この記事では、GitHubプロジェクトをQRコードに変換する方法を紹介します。
Ubuntu での Git インストール プロセス
Mar 20, 2024 pm 04:51 PM
Git は、高速で信頼性が高く、適応性に優れた分散バージョン管理システムです。分散型の非線形ワークフローをサポートするように設計されており、あらゆる規模のソフトウェア開発チームに最適です。各 Git 作業ディレクトリは、すべての変更の完全な履歴を備えた独立したリポジトリであり、ネットワーク アクセスや中央サーバーがなくてもバージョンを追跡できます。 GitHub は、分散リビジョン管理のすべての機能を提供する、クラウド上でホストされる Git リポジトリです。 GitHub は、クラウド上でホストされる Git リポジトリです。 CLI ツールである Git とは異なり、GitHub には Web ベースのグラフィカル ユーザー インターフェイスがあります。これは、他の開発者との共同作業や、スクリプトへの変更の追跡などのバージョン管理に使用されます。
GitHub の最新 AI ツールは、ユーザーがコード内のバグや脆弱性を自動的に修正するのに役立ちます
Mar 21, 2024 pm 04:01 PM
本日、GitHub は、すべての AdvancedSecurity (GHAS) ライセンスを持つユーザーを対象に、GitHub コード内の潜在的なセキュリティ脆弱性やコーディング エラーをユーザーが見つけられるように設計された新しい「コード スキャン」機能 (プレビュー) を開始しました。この新機能は、Copilot と CodeQL を活用して、コード内の潜在的な脆弱性やエラーを検出し、それらを分類し、修正に優先順位を付けます。 「コード スキャン」には GitHubActions 分が消費されることに注意することが重要です。概要によると、「コード スキャン」は、開発者が新たな問題を引き起こすのを防ぐだけでなく、特定の日付と時刻、またはリポジトリ内で特定のイベント (プッシュなど) が発生したときにスキャンをトリガーすることもできます。 AIがあなたを見つけたら
GitHub でフォルダーを見つける方法について話しましょう
Mar 27, 2023 am 11:33 AM
GitHub は、多くのプログラマーが自分のコード ベースを管理したり、他の開発者のコード ベースを参照したりするために使用する非常に人気のあるオープン ソース コード リポジトリです。 GitHub 上のプロジェクトには通常 1 つ以上のフォルダーが含まれていますが、多数のフォルダーが存在する場合は、特定のフォルダーを検索する必要がある場合があります。この記事では、プロジェクトを簡単に参照して管理できるように、GitHub でフォルダーを検索する方法を説明します。