文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

CICD管道中的代码注入漏洞影响Google、Apache开源GitHub项目

2024-12-01 15:25

关注

CI/CD管道中存在安全漏洞,攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。

近日,研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞,可用于秘密修改项目源代码、窃取机密并在组织内部横向移动。

据Legit Security的研究人员称,这些问题是持续集成/持续交付(CI/CD)缺陷,可能威胁到全球更多的开源项目,目前主要影响Google Firebase项目和Apache运行的流行集成框架项目。

研究人员将这种漏洞模式称为“GitHub环境注入”。它允许攻击者通过写入一个名为“GITHUB_ENV”的GitHub环境变量创建一个特制的有效负载,来控制易受攻击项目的GitHub Actions管道。具体来说,问题存在于GitHub在构建机器中共享环境变量的方式,它允许攻击者对其进行操作以提取信息,包括存储库所有权凭证。

Legit Security首席技术官兼联合创始人Liav Caspi补充道,这个概念是,构建Actions本身信任这些提交以供审查的代码,不需要任何人对其进行审查。更糟糕的是,任何对GitHub做出过贡献的人都可以触发它,而无需任何人对其进行审查。所以,这个一个非常强大且危险的漏洞。

不要忽视CI/CD管道的安全性

根据Caspi的说法,他的团队在对CI/CD管道的持续调查中发现了这些漏洞。随着“SolarWinds式”供应链缺陷的激增,他们一直在寻找GitHub生态系统中的缺陷,因为它是开源世界和企业开发中最受欢迎的源代码管理(SCM)系统之一,因此也是将漏洞注入软件供应链的天然工具。

他解释称,

“这些缺陷既体现了GitHub平台设计方式的设计缺陷,也体现了不同的开源项目和企业如何使用该平台。如果您非常了解风险并有意规避许多有风险的操作,您可能会编写一个非常安全的构建脚本。但我认为没有人真正意识到这一点,GitHub Actions中有一些非常危险的机制用于日常构建操作。”

他建议称,企业开发团队应始终对GitHub Action和其他构建系统保持“零信任”原则,假设他们用于构建的组件都可能会被攻击者利用,然后隔离环境并审查代码。

正如Caspi所解释的那样,这些缺陷不仅表明开源项目本身是供应链漏洞的潜在载体,而且构成CI/CD管道及其集成的代码也是如此。

好消息是,目前这两个漏洞都已得到修复。

原文链接:https://www.darkreading.com/vulnerabilities-threats/code-injection-bugs-google-apache-open-source-github-projects

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯