托管在 GitHub 上的諸多開源項(xiàng)目被曝存在 Auth tokens 泄露問題

IT之家 8 月 16 日消息，派拓網(wǎng)絡(luò)（Palo Alto Networks）旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報告，表示托管在 GitHub 上的很多熱門開源項(xiàng)目存在身份認(rèn)證授權(quán)令牌（Auth tokens）泄露問題，讓整個項(xiàng)目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風(fēng)險。

Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內(nèi)，很多開源項(xiàng)目通過 CI / CD 工作流中使用 GitHub Actions 操作，存在泄露身份驗(yàn)證 tokens 的問題。

如果惡意行為者發(fā)現(xiàn)了這些 tokens，他們就可以利用它們訪問私有存儲庫、竊取源代碼，甚至篡改源代碼，將合法項(xiàng)目變成惡意軟件。

Unit 42 部門表示，默認(rèn)設(shè)置、用戶錯誤配置和安全檢查不足等問題是上述問題的核心。

其中一個關(guān)鍵問題存在于“actions / checkout”操作中，默認(rèn)情況下，該操作會將 GitHub tokens 保存在本地 .git 目錄中（隱藏）。

但如果開發(fā)者出于某種原因上傳了完整的簽出目錄，就會無意中暴露 .git 文件夾中的 GitHub tokens。

該部門在 GitHub 上共計(jì)發(fā)現(xiàn)了 14 個開源項(xiàng)目 tokens：

• Firebase （Google）

• OpenSearch Security （AWS）

• Clair （Red Hat）

• Active Directory System （Adsys） （Canonical）

• JSON Schemas （Microsoft）

• TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft （Microsoft）

• CycloneDX SBOM （OWASP）

• Stockfish

• Libevent

• Guardian for Apache Kafka （Aiven-Open）

• Git Annex （Datalad）

• Penrose

• Deckhouse

• Concrete-ML （Zama AI）

該部門已經(jīng)向 GitHub 和相應(yīng)的項(xiàng)目所有者報告了這一情況，但 GitHub 表示不會解決這一問題，auth tokens 的安全性完全由項(xiàng)目所有者負(fù)責(zé)。IT之家在此附上相關(guān)鏈接，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。