Kerentanan Keselamatan Tindakan GitHub Mengkompromi Projek Sumber Terbuka Terkenal
Kerentanan keselamatan dalam Tindakan GitHub telah menjejaskan beberapa projek sumber terbuka terkenal yang diselenggara oleh syarikat seperti Google, Microsoft, AWS dan Red Hat.
Kerentanan keselamatan kritikal dalam Tindakan GitHub telah membawa kepada pendedahan token pengesahan untuk beberapa projek sumber terbuka berprofil tinggi yang diselenggara oleh syarikat seperti Google, Microsoft, AWS dan Red Hat. Cacat ini telah membolehkan akses tanpa kebenaran kepada repositori peribadi dan pemasukan kod hasad.
GitHub Actions ialah platform penyepaduan berterusan dan penghantaran berterusan (CI/CD) yang disepadukan secara mendalam dengan GitHub. Ia telah dilancarkan pada 2018 dan membolehkan pengguna mengautomasikan talian paip binaan, ujian dan penggunaan mereka terus dalam repositori GitHub mereka.
Kerentanan ini telah dikenal pasti oleh Unit 42 Palo Alto Networks, yang mendapati bahawa token ini secara tidak sengaja menjadi umum. Yang menghairankan, walaupun keadaan yang teruk, GitHub telah memutuskan untuk tidak membetulkan masalah yang mendasarinya. Sebaliknya, mereka telah mengesyorkan agar pengguna mengambil langkah untuk melindungi artifak aliran kerja mereka. Keputusan ini menyebabkan ramai pengguna terdedah dan kecewa.
Penyiasatan Unit 42 menyerlahkan beberapa isu yang boleh menyumbang kepada kerentanan ini, termasuk konfigurasi lalai yang tidak selamat dan ralat pengguna. Satu isu utama melibatkan ciri 'tindakan/keluar', yang lalai untuk menyimpan token GitHub dalam direktori .git tempatan. Jika direktori ini disertakan dalam muat naik artifak, token akan terdedah.
Kerentanan ini turut mempengaruhi maklumat sensitif lain, seperti kunci API dan token akses awan, yang mungkin dibocorkan melalui artifak ini. Output binaan dan keputusan ujian disimpan sehingga 90 hari dan boleh diakses oleh sesiapa sahaja yang telah membaca kebenaran ke repositori.
Satu lagi kerentanan dihadapi apabila saluran paip CI/CD menyimpan token GitHub dalam pembolehubah persekitaran. Jika sebarang tindakan atau skrip dalam aliran kerja merekodkan pembolehubah persekitaran ini, ia boleh didedahkan secara tidak sengaja. Contohnya, mendayakan sifat 'CREATE_LOG_FILE' dalam tindakan 'super-linter' boleh log pembolehubah ini.
Eksploitasi kelemahan ini boleh berbeza-beza bergantung pada jenis token yang terdedah. Sebagai contoh, jika token GitHub dibocorkan, ia boleh digunakan untuk mengekstrak bukti kelayakan daripada fail log dan menggunakannya sebelum tamat tempoh. Token GitHub biasanya sah untuk tempoh kerja aliran kerja mereka, manakala 'Actions_Runtime_Token', yang digunakan untuk caching dan pengurusan artifak, kekal sah selama enam jam. Ini memberikan peluang terhad kepada penyerang.
Walau bagaimanapun, penyelidikan yang dijalankan oleh Unit 42 juga menunjukkan bahawa token ini termasuk akses kepada infrastruktur awan pihak ketiga, bukan hanya GitHub. Ini menimbulkan kebimbangan keselamatan selanjutnya, kerana data artifak, yang mengandungi token ini, didapati boleh diakses secara terbuka sehingga tiga bulan. Pelakon berniat jahat boleh mengautomasikan pengambilan semula artifak, mengekstrak token dan menggunakannya untuk menolak kod hasad ke repositori.
Untuk menunjukkan kelemahan ini, penyelidik mencipta cawangan dalam projek sumber terbuka, menunjukkan potensi pelaksanaan kod jauh (RCE) pada pelari yang mengendalikan artifak berniat jahat. Mereka juga membangunkan tindakan bukti konsep (PoC) untuk mengaudit direktori sumber untuk mencari rahsia, menyekat muat naik artifak jika sebarang risiko pendedahan rahsia dikesan.
Penemuan penyelidikan ini telah diserahkan kepada program hadiah pepijat GitHub, tetapi isu itu diklasifikasikan sebagai bermaklumat, menunjukkan bahawa pengguna memikul tanggungjawab untuk mendapatkan artifak yang dimuat naik. Walaupun sambutan terhad daripada GitHub, cerapan telah dikongsi dengan Cyber Threat Alliance (CTA) untuk membolehkan ahli menggunakan langkah perlindungan dan menggagalkan potensi ancaman siber.
Atas ialah kandungan terperinci Kerentanan Keselamatan Tindakan GitHub Mengkompromi Projek Sumber Terbuka Terkenal. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1675
14
1429
52
1333
25
1278
29
1257
24
Lompatan Metaverse Dogecoin: Mendedahkan Potensi dan Cabaran Tersembunyi yang Belum Disentuh
Nov 10, 2024 pm 12:40 PM
Apabila Dogecoin membuat kemasukan yang bercita-cita tinggi ke dalam Metaverse, ia menimbulkan beberapa soalan yang menggugah pemikiran dan mendedahkan dimensi baharu tentang maksud langkah ini
Mari kita bincangkan tentang cara memadam folder dalam repositori GitHub
Mar 27, 2023 am 11:33 AM
GitHub ialah sistem kawalan versi yang sangat popular yang membolehkan pengguna menyimpan dan berkongsi pangkalan kod mereka di Internet. Ia adalah salah satu alat yang mesti ada untuk pengaturcara. Walau bagaimanapun, kadangkala kita mungkin perlu memadamkan folder dalam repositori GitHub. Artikel ini akan memperkenalkan cara memadam folder dalam repositori GitHub.
Cara memasang GitHub pada Windows 11/10 Copilot
Oct 21, 2023 pm 11:13 PM
GitHubCopilot ialah tahap seterusnya untuk pengekod, dengan model berasaskan AI yang berjaya meramal dan melengkapkan kod anda secara automatik. Walau bagaimanapun, anda mungkin tertanya-tanya bagaimana untuk mendapatkan genius AI ini pada peranti anda supaya pengekodan anda menjadi lebih mudah! Walau bagaimanapun, menggunakan GitHub tidak begitu mudah, dan proses persediaan awal adalah rumit. Oleh itu, kami mencipta tutorial langkah demi langkah ini tentang cara memasang dan melaksanakan GitHub Copilot dalam VSCode pada Windows 11, 10. Cara memasang GitHubCopilot pada Windows Terdapat beberapa langkah untuk proses ini. Jadi, ikuti langkah di bawah sekarang. Langkah 1 – Anda mesti memasang versi terkini Visual Studio pada komputer anda
Mari kita bincangkan tentang cara menyediakan cawangan yang dilindungi dan menyerahkan PR dalam Gitlab
Mar 30, 2023 pm 09:01 PM
Artikel ini adalah tentang mempelajari Gitlab, bercakap tentang cara menyediakan cawangan yang dilindungi dan menyerahkan PR kepada ketua anda, saya harap ia akan membantu semua orang.
Mari kita bincangkan tentang cara menukar projek GitHub anda kepada kod QR
Mar 27, 2023 am 11:33 AM
Dalam pembangunan perisian moden, GitHub ialah salah satu platform pengehosan projek yang paling popular. Ia menyediakan pemaju dengan platform yang mudah untuk menyimpan dan mengurus projek sumber terbuka mereka. Ciri menarik GitHub ialah menukar pautan projek kepada kod QR. Artikel ini akan memperkenalkan anda cara menukar projek GitHub anda kepada kod QR.
Proses pemasangan Git pada Ubuntu
Mar 20, 2024 pm 04:51 PM
Git ialah sistem kawalan versi teragih yang pantas, boleh dipercayai dan boleh disesuaikan. Ia direka bentuk untuk menyokong aliran kerja bukan linear teragih, menjadikannya ideal untuk pasukan pembangunan perisian dari semua saiz. Setiap direktori kerja Git ialah repositori bebas dengan sejarah lengkap semua perubahan dan keupayaan untuk menjejak versi walaupun tanpa akses rangkaian atau pelayan pusat. GitHub ialah repositori Git yang dihoskan pada awan yang menyediakan semua ciri kawalan semakan yang diedarkan. GitHub ialah repositori Git yang dihoskan pada awan. Tidak seperti Git yang merupakan alat CLI, GitHub mempunyai antara muka pengguna grafik berasaskan web. Ia digunakan untuk kawalan versi, yang melibatkan kerjasama dengan pembangun lain dan menjejaki perubahan pada skrip dan
Alat AI terkini GitHub membantu pengguna membetulkan pepijat dan kelemahan secara automatik dalam kod mereka
Mar 21, 2024 pm 04:01 PM
Hari ini, GitHub melancarkan ciri "Imbasan Kod" baharu (pratonton) untuk semua pengguna berlesen AdvancedSecurity (GHAS), yang direka untuk membantu pengguna mencari kemungkinan kelemahan keselamatan dan ralat pengekodan dalam kod GitHub. Ciri baharu ini memanfaatkan Copilot dan CodeQL untuk mengesan potensi kelemahan atau ralat dalam kod anda, mengklasifikasikannya dan mengutamakan pembaikan. Adalah penting untuk ambil perhatian bahawa "pengimbasan kod" akan menggunakan minit GitHubActions. Menurut pengenalan, "pengimbasan kod" bukan sahaja boleh menghalang pembangun daripada memperkenalkan masalah baharu, tetapi juga boleh mencetuskan imbasan berdasarkan tarikh dan masa tertentu, atau apabila peristiwa tertentu (seperti tolakan) berlaku dalam repositori. Jika AI menemui anda
Mari kita bincangkan tentang cara mencari folder pada GitHub
Mar 27, 2023 am 11:33 AM
GitHub ialah repositori kod sumber terbuka yang sangat popular yang digunakan oleh ramai pengaturcara untuk mengurus pangkalan kod mereka sendiri dan untuk menyemak imbas pangkalan kod pembangun lain. Projek di GitHub biasanya termasuk satu atau lebih folder, tetapi apabila banyak folder wujud, kadangkala anda mungkin perlu mencari folder tertentu. Artikel ini akan menunjukkan kepada anda cara mencari folder pada GitHub untuk membantu anda menyemak imbas dan mengurus projek dengan mudah.