設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

托管在 GitHub 上的諸多開源項目被曝存在 Auth tokens 泄露問題

2024/8/16 8:37:42 來源:IT之家 作者:故淵 責(zé)編:故淵

IT之家 8 月 16 日消息,派拓網(wǎng)絡(luò)(Palo Alto Networks)旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報告,表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權(quán)令牌(Auth tokens)泄露問題,讓整個項目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風(fēng)險。

Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內(nèi),很多開源項目通過 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份驗證 tokens 的問題。

如果惡意行為者發(fā)現(xiàn)了這些 tokens,他們就可以利用它們訪問私有存儲庫、竊取源代碼,甚至篡改源代碼,將合法項目變成惡意軟件。

Unit 42 部門表示,默認設(shè)置、用戶錯誤配置和安全檢查不足等問題是上述問題的核心。

其中一個關(guān)鍵問題存在于“actions / checkout”操作中,默認情況下,該操作會將 GitHub tokens 保存在本地 .git 目錄中(隱藏)。

但如果開發(fā)者出于某種原因上傳了完整的簽出目錄,就會無意中暴露 .git 文件夾中的 GitHub tokens。

該部門在 GitHub 上共計發(fā)現(xiàn)了 14 個開源項目 tokens:

  • Firebase (Google)

  • OpenSearch Security (AWS)

  • Clair (Red Hat)

  • Active Directory System (Adsys) (Canonical)

  • JSON Schemas (Microsoft)

  • TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)

  • CycloneDX SBOM (OWASP)

  • Stockfish

  • Libevent

  • Guardian for Apache Kafka (Aiven-Open)

  • Git Annex (Datalad)

  • Penrose

  • Deckhouse

  • Concrete-ML (Zama AI)

該部門已經(jīng)向 GitHub 和相應(yīng)的項目所有者報告了這一情況,但 GitHub 表示不會解決這一問題,auth tokens 的安全性完全由項目所有者負責(zé)。IT之家在此附上相關(guān)鏈接,感興趣的用戶可以深入閱讀。

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:GitHub,微軟,安全

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機APP應(yīng)用 魔方 最會買 要知