资讯
8月16日消息,派拓网络(Palo Alto Networks)的Unit 42安全团队在8月13日发布的最新报告中揭示了一个严峻的安全议题:众多托管于GitHub的热门开源项目不慎暴露了身份认证授权令牌,这无疑为这些项目投下了数据泄露及遭受恶意篡改的阴影,突显出开源领域在安全管理上面临的挑战。
Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份验证 tokens 的问题。
如果恶意行为者发现了这些 tokens,他们就可以利用它们访问私有存储库、窃取源代码,甚至篡改源代码,将合法项目变成恶意软件。
Unit 42 部门表示,默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。
其中一个关键问题存在于“actions / checkout”操作中,默认情况下,该操作会将 GitHub tokens 保存在本地 .git 目录中(隐藏)。
但如果开发者出于某种原因上传了完整的签出目录,就会无意中暴露 .git 文件夹中的 GitHub tokens。
该部门在 GitHub 上共计发现了 14 个开源项目 tokens:
Firebase (Google)
OpenSearch Security (AWS)
Clair (Red Hat)
Active Directory System (Adsys) (Canonical)
JSON Schemas (Microsoft)
TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)
CycloneDX SBOM (OWASP)
Stockfish
Libevent
Guardian for Apache Kafka (Aiven-Open)
Git Annex (Datalad)
Penrose
Deckhouse
Concrete-ML (Zama AI)
该部门已经向 GitHub 和相应的项目所有者报告了这一情况,但 GitHub 表示不会解决这一问题,auth tokens 的安全性完全由项目所有者负责。
文明上网,理性发言,共同做网络文明传播者