コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > ウェブ3.0 > 本文

GitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害される

WBOY
リリース: 2024-08-16 00:27:14
オリジナル
285 人が閲覧しました

GitHub Actions のセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目すべきオープンソース プロジェクトが侵害されました。

GitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害される

GitHub Actions の重大なセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目度の高いオープンソース プロジェクトの認証トークンが流出しました。この欠陥により、プライベート リポジトリへの不正アクセスや悪意のあるコードの挿入が可能になりました。

GitHub Actions は、GitHub と緊密に統合された継続的インテグレーションおよび継続的デリバリー (CI/CD) プラットフォームです。 2018 年にリリースされ、ユーザーは GitHub リポジトリ内で直接ビルド、テスト、デプロイのパイプラインを自動化できます。

この脆弱性は、これらのトークンが意図せず公開されていることを発見したパロアルトネットワークスのユニット 42 によって特定されました。驚くべきことに、状況の深刻さにも関わらず、GitHub は根本的な問題を修正しないことを決定しました。代わりに、ユーザーがワークフロー成果物を保護するための措置を講じることを推奨しています。この決定により、多くのユーザーが脆弱になり、不満を感じています。

Unit 42 の調査により、安全でないデフォルト設定やユーザー エラーなど、この脆弱性の原因となる可能性のあるいくつかの問題が浮き彫りになりました。主な問題の 1 つは、デフォルトで GitHub トークンをローカルの .git ディレクトリに保存する「actions/checkout」機能に関係しています。このディレクトリがアーティファクトのアップロードに含まれている場合、トークンが公開されます。

この脆弱性は、API キーやクラウド アクセス トークンなどの他の機密情報にも影響し、これらのアーティファクトを通じて漏洩する可能性があります。ビルド出力とテスト結果は最大 90 日間保存され、リポジトリへの読み取り権限を持つ誰でもアクセスできます。

CI/CD パイプラインが GitHub トークンを環境変数に保存するときに、別の脆弱性が発生します。ワークフロー内のアクションまたはスクリプトがこれらの環境変数をログに記録すると、それらが意図せず公開される可能性があります。たとえば、「スーパーリンター」アクションで「CREATE_LOG_FILE」プロパティを有効にすると、これらの変数をログに記録できます。

この脆弱性の悪用は、公開されるトークンの種類によって異なる可能性があります。たとえば、GitHub トークンが漏洩した場合、それを使用してログ ファイルから認証情報を抽出し、有効期限が切れる前に使用することができます。 GitHub トークンは通常、ワークフロー ジョブの期間中有効ですが、キャッシュとアーティファクト管理に使用される「Actions_Runtime_Token」は 6 時間有効です。これにより、攻撃者に限られた機会が与えられます。

ただし、Unit 42 が実施した調査では、これらのトークンには GitHub だけでなく、サードパーティのクラウド インフラストラクチャへのアクセスが含まれていることも示されています。これらのトークンを含むアーティファクトデータは最大 3 か月間一般にアクセス可能であることが判明したため、これによりセキュリティ上の懸念がさらに高まります。悪意のある攻撃者は、アーティファクトの取得を自動化し、トークンを抽出し、それらを使用して悪意のあるコードをリポジトリにプッシュする可能性があります。

この脆弱性を実証するために、研究者らはオープンソース プロジェクトにブランチを作成し、悪意のあるアーティファクトを処理するランナー上でリモート コード実行 (RCE) が行われる可能性を示しました。また、ソース ディレクトリの秘密を監査し、秘密漏洩のリスクが検出された場合にアーティファクトのアップロードをブロックする概念実証 (PoC) アクションも開発しました。

この調査結果は GitHub のバグ報奨金プログラムに提出されましたが、この問題は情報提供として分類され、アップロードされたアーティファクトを保護する責任はユーザーにあることが示唆されました。 GitHub からの反応は限られていましたが、洞察は Cyber​​ Threat Alliance (CTA) と共有され、メンバーが保護措置を導入し、潜在的なサイバー脅威を阻止できるようになりました。

以上がGitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害されるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
github Risks Token Leak Security Flaw Open-Source Projects
ソース:php.cn
前の記事:ビットコインETF:嵐にもかかわらず揺るぎない自信 次の記事:ドージコイン (DOGE) 対 ムペッペ (MPEPE): ドージコイン (DOGE) はこの新しい競争者の台頭で生き残ることができるでしょうか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
MERN スタックの検索ボックスとチェックボックスの正規表現フィルター 私は実行しながら学習することで MERN スタックがどのように連携するかを理解しようとしており、bezcoder の次のチュートリアルに従っています: Node.js/Expres...
から 2024-04-06 14:53:12
0
1
425
GitHub Pages でディレクトリのインデックスを作成/リストする方法 GithubPages Web サイトを持っています。 Apache Webサイトで有効にできるようなディレクトリインデックスを追加しようとしています。
から 2024-04-03 00:22:38
0
1
341
ブックマークレットにより JavaScript コードで構文エラーが発生する (背景: ここ https://github.com/refined-github/refined-github/issues/1892 にある JS コードを使用しようとしていま...
から 2024-04-01 16:16:44
0
1
398
HTML <pre><code> タグをラップせずにオーバーフローしようとすると、フレックススペースが壊れる GitHub などで見られるようなスタイル付きのコード ブロックを作成するために、CSS をプリコード セレクターに適用します。レイアウトに Flexbox を使用しており、「bo...
から 2024-04-01 12:22:06
0
1
296
GitHub Pages での CSS と JS の表示に問題があるが、VS Code では正常に動作する 私はプロジェクトのページで作業しており、CSS ファイルと JS ファイルを含むテンプレートを使用しています。 VisualStudioCode でコードを作成したところ、コンピュ...
から 2024-03-30 22:12:20
0
1
314
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート