IT之家 8 月 16 日消息,派拓網(wǎng)絡(luò)(Palo Alto Networks)旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報告,表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權(quán)令牌(Auth tokens)泄露問題,讓整個項目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風(fēng)險。
Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內(nèi),很多開源項目通過 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份驗證 tokens 的問題。
如果惡意行為者發(fā)現(xiàn)了這些 tokens,他們就可以利用它們訪問私有存儲庫、竊取源代碼,甚至篡改源代碼,將合法項目變成惡意軟件。
Unit 42 部門表示,默認設(shè)置、用戶錯誤配置和安全檢查不足等問題是上述問題的核心。
其中一個關(guān)鍵問題存在于“actions / checkout”操作中,默認情況下,該操作會將 GitHub tokens 保存在本地 .git 目錄中(隱藏)。
但如果開發(fā)者出于某種原因上傳了完整的簽出目錄,就會無意中暴露 .git 文件夾中的 GitHub tokens。
該部門在 GitHub 上共計發(fā)現(xiàn)了 14 個開源項目 tokens:
Firebase (Google)
OpenSearch Security (AWS)
Clair (Red Hat)
Active Directory System (Adsys) (Canonical)
JSON Schemas (Microsoft)
TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)
CycloneDX SBOM (OWASP)
Stockfish
Libevent
Guardian for Apache Kafka (Aiven-Open)
Git Annex (Datalad)
Penrose
Deckhouse
Concrete-ML (Zama AI)
該部門已經(jīng)向 GitHub 和相應(yīng)的項目所有者報告了這一情況,但 GitHub 表示不會解決這一問題,auth tokens 的安全性完全由項目所有者負責(zé)。IT之家在此附上相關(guān)鏈接,感興趣的用戶可以深入閱讀。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。