지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
웹3.0 GitHub Actions 보안 취약점으로 인해 주목할만한 오픈 소스 프로젝트가 손상됨

GitHub Actions 보안 취약점으로 인해 주목할만한 오픈 소스 프로젝트가 손상됨

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Aug 16, 2024 am 12:27 AM
github Risks Token Leak Security Flaw Open-Source Projects

GitHub Actions의 보안 취약성으로 인해 Google, Microsoft, AWS, Red Hat과 같은 회사에서 유지관리하는 몇몇 주목할만한 오픈 소스 프로젝트가 손상되었습니다.

GitHub Actions 보안 취약점으로 인해 주목할만한 오픈 소스 프로젝트가 손상됨

GitHub Actions의 심각한 보안 취약성으로 인해 Google, Microsoft, AWS, Red Hat과 같은 회사에서 유지 관리하는 여러 유명 오픈 소스 프로젝트에 대한 인증 토큰이 노출되었습니다. 이 결함으로 인해 개인 저장소에 대한 무단 액세스 및 악성 코드 삽입이 가능해졌습니다.

GitHub Actions는 GitHub와 긴밀하게 통합된 CI/CD(지속적 통합 및 지속적 전달) 플랫폼입니다. 2018년에 출시되었으며 사용자가 GitHub 리포지토리 내에서 직접 빌드, 테스트 및 배포 파이프라인을 자동화할 수 있습니다.

이 취약점은 Palo Alto Networks의 Unit 42에 의해 식별되었으며, 이 토큰이 의도치 않게 공개되었다는 사실을 발견했습니다. 놀랍게도 상황의 심각성에도 불구하고 GitHub는 근본적인 문제를 수정하지 않기로 결정했습니다. 대신 사용자가 워크플로 아티팩트를 보호하기 위한 조치를 취할 것을 권장했습니다. 이 결정으로 인해 많은 사용자가 취약해지고 좌절감을 느꼈습니다.

Unit 42의 조사에서는 안전하지 않은 기본 구성 및 사용자 오류를 포함하여 이 취약점에 기여할 수 있는 몇 가지 문제가 강조되었습니다. 주요 문제 중 하나는 기본적으로 GitHub 토큰을 로컬 .git 디렉터리에 저장하는 'actions/checkout' 기능과 관련이 있습니다. 이 디렉터리가 아티팩트 업로드에 포함되면 토큰이 노출됩니다.

이 취약점은 이러한 아티팩트를 통해 유출될 수 있는 API 키 및 클라우드 액세스 토큰과 같은 기타 민감한 정보에도 영향을 미칩니다. 빌드 출력 및 테스트 결과는 최대 90일 동안 저장되며 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 액세스할 수 있습니다.

CI/CD 파이프라인이 GitHub 토큰을 환경 변수에 저장할 때 또 다른 취약점이 발생합니다. 워크플로 내의 작업이나 스크립트가 이러한 환경 변수를 기록하는 경우 의도하지 않게 노출될 수 있습니다. 예를 들어 'super-linter' 작업에서 'CREATE_LOG_FILE' 속성을 활성화하면 이러한 변수를 기록할 수 있습니다.

이 취약점의 악용은 노출되는 토큰 유형에 따라 달라질 수 있습니다. 예를 들어 GitHub 토큰이 유출된 경우 이를 사용하여 로그 파일에서 자격 증명을 추출하고 만료되기 전에 사용할 수 있습니다. GitHub 토큰은 일반적으로 워크플로 작업 기간 동안 유효하며, 캐싱 및 아티팩트 관리에 사용되는 'Actions_Runtime_Token'은 6시간 동안 유효합니다. 이는 공격자에게 제한된 기회 창을 제공합니다.

그러나 Unit 42가 실시한 연구에 따르면 이러한 토큰에는 GitHub뿐만 아니라 타사 클라우드 인프라에 대한 액세스도 포함되어 있는 것으로 나타났습니다. 이러한 토큰이 포함된 인공 데이터는 최대 3개월 동안 공개적으로 액세스할 수 있는 것으로 밝혀졌기 때문에 보안에 대한 우려가 더욱 커지고 있습니다. 악의적인 행위자는 아티팩트 검색을 자동화하고, 토큰을 추출하고, 이를 사용하여 악성 코드를 리포지토리에 푸시할 수 있습니다.

이 취약점을 입증하기 위해 연구원들은 오픈 소스 프로젝트에 브랜치를 생성하여 악성 아티팩트를 처리하는 실행기에서 RCE(원격 코드 실행)의 가능성을 보여주었습니다. 또한 소스 디렉터리에서 비밀을 감사하여 비밀 노출 위험이 감지되면 아티팩트 업로드를 차단하는 개념 증명(PoC) 작업을 개발했습니다.

이 연구 결과는 GitHub의 버그 포상금 프로그램에 제출되었지만 이 문제는 정보 제공용으로 분류되어 사용자가 업로드된 아티팩트를 보호할 책임이 있음을 시사합니다. GitHub의 제한된 응답에도 불구하고 회원들이 보호 조치를 배포하고 잠재적인 사이버 위협을 차단할 수 있도록 통찰력을 CTA(Cyber ​​Threat Alliance)와 공유했습니다.

위 내용은 GitHub Actions 보안 취약점으로 인해 주목할만한 오픈 소스 프로젝트가 손상됨의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

Video Face Swap

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

더보기

인기 기사

KB5055612 수정 방법 Windows 10에 설치되지 않습니까?
4 몇 주 전 By DDD
<gum> : Bubble Gum Simulator Infinity- 로얄 키를 얻고 사용하는 방법
4 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
<garden> : 정원 재배 - 완전한 돌연변이 가이드
3 몇 주 전 By DDD
Nordhold : Fusion System, 설명
4 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora : 마녀 트리의 속삭임 - Grappling Hook 잠금 해제 방법
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

자바 튜토리얼
1675
14
Cakephp 튜토리얼
1429
52
라라벨 튜토리얼
1333
25
PHP 튜토리얼
1278
29
C# 튜토리얼
1257
24
더보기
Related knowledge
Dogecoin의 메타버스 도약: 아직 개발되지 않은 잠재력과 숨겨진 도전 과제 공개 Dogecoin의 메타버스 도약: 아직 개발되지 않은 잠재력과 숨겨진 도전 과제 공개 Nov 10, 2024 pm 12:40 PM

Dogecoin이 메타버스에 야심차게 진입하면서 여러 가지 생각을 불러일으키는 질문을 제기하고 이 움직임이 의미할 수 있는 새로운 차원을 밝혀냅니다.

GitHub 저장소에서 폴더를 삭제하는 방법에 대해 이야기해 보겠습니다. GitHub 저장소에서 폴더를 삭제하는 방법에 대해 이야기해 보겠습니다. Mar 27, 2023 am 11:33 AM

GitHub는 사용자가 인터넷에서 코드 기반을 저장하고 공유할 수 있는 매우 인기 있는 버전 제어 시스템입니다. 프로그래머에게 꼭 필요한 도구 중 하나입니다. 그러나 때로는 GitHub 저장소에서 폴더를 삭제해야 할 수도 있습니다. 이 글에서는 GitHub 저장소에서 폴더를 삭제하는 방법을 소개합니다.

Windows 11/10에 GitHub Copilot을 설치하는 방법 Windows 11/10에 GitHub Copilot을 설치하는 방법 Oct 21, 2023 pm 11:13 PM

GitHubCopilot은 코드를 성공적으로 예측하고 자동 완성하는 AI 기반 모델을 갖춘 코더의 다음 단계입니다. 하지만 이 천재적인 AI를 장치에 적용하여 코딩을 더욱 쉽게 만드는 방법이 궁금하실 것입니다! 그러나 GitHub를 사용하는 것은 쉽지 않으며 초기 설정 프로세스도 까다롭습니다. 따라서 우리는 Windows 11, 10의 VSCode에서 GitHub Copilot을 설치하고 구현하는 방법에 대한 단계별 튜토리얼을 만들었습니다. Windows에 GitHubCopilot을 설치하는 방법 이 프로세스에는 여러 단계가 있습니다. 이제 아래 단계를 따르십시오. 1단계 – 컴퓨터에 최신 버전의 Visual Studio가 설치되어 있어야 합니다.

Gitlab에서 보호 브랜치를 설정하고 PR을 제출하는 방법에 대해 이야기해 보겠습니다. Gitlab에서 보호 브랜치를 설정하고 PR을 제출하는 방법에 대해 이야기해 보겠습니다. Mar 30, 2023 pm 09:01 PM

이 기사는 Gitlab을 배우고, 보호된 브랜치를 설정하고 리더에게 PR을 제출하는 방법에 대해 설명합니다. 모든 사람에게 도움이 되기를 바랍니다.

GitHub 프로젝트를 QR 코드로 변환하는 방법에 대해 이야기해 보겠습니다. GitHub 프로젝트를 QR 코드로 변환하는 방법에 대해 이야기해 보겠습니다. Mar 27, 2023 am 11:33 AM

최신 소프트웨어 개발에서 GitHub는 가장 인기 있는 프로젝트 호스팅 플랫폼 중 하나입니다. 이는 개발자에게 오픈 소스 프로젝트를 저장하고 관리하기 위한 편리한 플랫폼을 제공합니다. GitHub의 흥미로운 기능은 프로젝트 링크를 QR 코드로 변환하는 것입니다. 이 기사에서는 GitHub 프로젝트를 QR 코드로 변환하는 방법을 소개합니다.

우분투에서의 Git 설치 과정 우분투에서의 Git 설치 과정 Mar 20, 2024 pm 04:51 PM

Git은 빠르고 안정적이며 적응력이 뛰어난 분산 버전 제어 시스템입니다. 분산된 비선형 워크플로를 지원하도록 설계되어 모든 규모의 소프트웨어 개발 팀에 이상적입니다. 각 Git 작업 디렉터리는 모든 변경 사항에 대한 전체 기록을 보유하고 네트워크 액세스나 중앙 서버 없이도 버전을 추적할 수 있는 독립적인 저장소입니다. GitHub는 분산 개정 제어의 모든 기능을 제공하는 클라우드에 호스팅되는 Git 저장소입니다. GitHub는 클라우드에서 호스팅되는 Git 저장소입니다. CLI 도구인 Git과 달리 GitHub에는 웹 기반 그래픽 사용자 인터페이스가 있습니다. 이는 다른 개발자와 협력하고 스크립트 변경 사항을 추적하는 버전 제어에 사용됩니다.

GitHub의 최신 AI 도구는 사용자가 코드의 버그와 취약점을 자동으로 수정하도록 도와줍니다. GitHub의 최신 AI 도구는 사용자가 코드의 버그와 취약점을 자동으로 수정하도록 도와줍니다. Mar 21, 2024 pm 04:01 PM

오늘 GitHub는 사용자가 GitHub 코드에서 잠재적인 보안 취약성과 코딩 오류를 찾는 데 도움이 되도록 설계된 모든 AdvancedSecurity(GHAS) 라이선스 사용자를 위한 새로운 "코드 스캔" 기능(미리 보기)을 출시했습니다. 이 새로운 기능은 Copilot 및 CodeQL을 활용하여 코드의 잠재적인 취약점이나 오류를 감지하고 분류하며 수정 사항의 우선순위를 지정합니다. "코드 스캔"에는 GitHubActions 시간이 소요된다는 점에 유의하는 것이 중요합니다. 소개에 따르면 "코드 스캔"은 개발자가 새로운 문제를 발생시키는 것을 방지할 수 있을 뿐만 아니라 특정 날짜와 시간을 기준으로 또는 저장소에서 특정 이벤트(예: 푸시)가 발생할 때 스캔을 트리거할 수도 있습니다. AI가 당신을 찾으면

GitHub에서 폴더를 찾는 방법에 대해 이야기해 보겠습니다. GitHub에서 폴더를 찾는 방법에 대해 이야기해 보겠습니다. Mar 27, 2023 am 11:33 AM

GitHub는 많은 프로그래머가 자신의 코드 베이스를 관리하고 다른 개발자의 코드 베이스를 탐색하는 데 사용하는 매우 인기 있는 오픈 소스 코드 저장소입니다. GitHub의 프로젝트에는 일반적으로 하나 이상의 폴더가 포함되어 있지만 폴더가 많은 경우 때로는 특정 폴더를 찾아야 할 수도 있습니다. 이 문서에서는 프로젝트를 쉽게 찾아보고 관리하는 데 도움이 되도록 GitHub에서 폴더를 찾는 방법을 보여줍니다.