Во многих проектах с открытым исходным кодом верхнего уровня были обнаружены утечки токенов аутентификации GitHub, что подвергало целые проекты риску кражи данных и вредоносного кода.
Исследователи кибербезопасности из Подразделения 42 обнаружили инцидент и сообщили о нем как GitHub, так и владельцам соответствующих проектов. Однако GitHub заявил, что проблема не будет решена и что безопасность токенов аутентификации лежит исключительно на владельцах проектов.
Подразделение 42 заявило, что обнаружило, что проекты с открытым исходным кодом, включая Google, Microsoft и AWS, сливают токены аутентификации GitHub через артефакты GitHub Actions в рабочих процессах CI/CD. Если злоумышленник найдет эти токены, он может использовать их для доступа к закрытым репозиториям, украсть или даже подделать исходный код, превратив законные проекты во вредоносное ПО. Множественные загрузки
По данным Подразделения 42, в основе проблемы лежат такие проблемы, как рискованные настройки по умолчанию, неправильная конфигурация пользователя и недостаточный контроль безопасности.
Одна из проблем связана с действием «actions/checkout», которое по умолчанию сохраняет токен GitHub в локальном каталоге .git (замаскированном), поскольку он требуется для аутентифицированных операций. Но если разработчик по какой-то причине загружает полный каталог checkout, он/она непреднамеренно раскроет токен GitHub в папке .git.
Более подробную информацию о различных факторах риска, обнаруженных Unit 42, можно найти по этой ссылке.
Всего исследователи обнаружили 14 проектов с открытым исходным кодом, принадлежащих крупным организациям, чьи токены GitHub раскрылись. Они сообщили о своих выводах каждой из них:
Подпишитесь на рассылку новостей Ny Breaking и получайте ключевые новости, мнения, функции и советы, необходимые вашему бизнесу для успеха! Firebase (Google)
OpenSearch Security (AWS)
Clair (Red Hat)
Active Directory System (Adsys) (канонический)
JSON Schemas (Microsoft)
TypeScript Repos Automation, TypeScript Bot Test Trigger, Azure Draft (Microsoft) CycloneDX SBOM (OWASP)
Stockfish
Бесплатное мероприятие
Guardian для Apache Kafka (Aiven-Open)
Git Attachment (Datalad)
Penrose
Roof
Concrete-ML (Zama AI)
Через BleepingComputer
Больше от Ny Breaking
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
